2008:001 HIP
EXAMENSARBETE
Ledningssystem för informationssäkerhet kartläggning av SFK Certifiering AB åtaganden för att uppnå ackreditering enligt ISO 27006:2007
Linda Adeteg
Luleå tekniska universitet Högskoleingenjörsprogrammet Miljö- och kvalitetsmanagement Institutionen för Industriell ekonomi och samhällsvetenskap Avdelningen för Kvalitets- & miljöledning 2008:001 HIP - ISSN: 1404-5494 - ISRN: LTU-HIP-EX--08/001--SE
Ledningssystem för informationssäkerhet Kartläggning av SFK Certifiering AB åtaganden för att uppnå ackreditering enligt ISO 27006:2007
Information Security Management Survey of commitments of SFK Certifiering AB to accomplished accreditation according to ISO 27006:2007
Examensarbete utfört inom ämnesområdet kvalitetsutveckling vid Luleå tekniska universitet och SFK Certifiering i Jönköping av Linda Adeteg Luleå 2007-10-28
Handledare: Per-Olof Winberg, SFK Certifiering AB Erik Lovén, Luleå tekniska universitet
FÖRORD
Förord Detta examensarbete har utförts på halvfart under 20 veckor, perioden april till september 2007 och är det avslutande momentet på min utbildning till högskoleingenjör inom miljö- och kvalitetsmanagement programmet vid Luleå tekniska universitet. Projektet har genomförts på uppdrag av SFK Certifiering AB. Min uppgift har varit att analysera SFK Certifierings nuläge och kartlägga vad organisationen är i behov av att genomföra för att erhålla ackreditering att certifiera enligt ISO 27001:2006, informationssäkerhet. Jag vill rikta ett stort tack till min handledare och beställare av arbetet vid SFK Certifiering AB, Per-Olof Winberg, för allt stöd och support under arbetets gång. Vill även tacka min handledare vid Luleå tekniska universitet, Erik Lovén universitetsadjunkt på avdelningen för kvalitets- och miljöledning, för konstruktiv kritik och betydande råd avseende rapportskrivning. Dessutom vill jag tacka Magnus Pedersen som gav mig möjlighet att besöka SWEDAC och därigenom erhålla intressant information avseende ackrediteringsprocessen och Berndt Roslund, SafeCom Consulting AB, som svarat på mina frågor och kommit med värdefulla tips och idéer avseende informationssäkerhet. Till sist vill jag tacka samtliga medarbetare på SFK Certifiering för gott samarbete. Det har varit ett stort nöje att få göra mitt examensarbete vid Er arbetsplats!
Luleå september 2007
Linda Adeteg
i
SAMMANFATTNING
Sammanfattning Information är en oumbärlig tillgång i all affärsverksamhet och är ofta nyckeln till organisationers tillväxt och framgång. Korrekt information vid rätt tidpunkt kan betyda skillnaden mellan vinst och förlust, framgång eller misslyckande. Eftersom affärsvärlden idag är integrerad och därigenom sårbar är det viktigt att verksamheter skyddar sig mot angrepp. Informationssäkerhet identifierar och skyddar organisationens tillgångar samtidigt som verksamhetens utveckling och fortlevnad säkerställs. För att visa kunder och övriga intressenter att informationssäkerhetsarbetet har en central del i organisationen kan ett ledningssystem för informationssäkerhet implementeras och certifieras. Ett certifierat ledningssystem höjer organisationens förtroende genom att påvisa att all information skyddads på ett tillfredsställande sätt oavsett var i organisationen den finns. Examensarbetet är utfört på uppdrag av SFK Certifiering AB. SFK Certifiering är ett svenskt certifieringsorgan ackrediterat för att genomföra certifieringar av ledningssystem. Målet med projektet är att ge SFK Certifiering underlag till att utveckla sitt verksamhetssystem och sina medarbetare för att nå en ackreditering enligt ISO 27006:2007. Arbetet syftar till att inför en ackrediteringsansökan kartlägga och analysera berörda standarder i avseende att jämföra kraven med SFK Certifierings befintliga verksamhetssystem inkluderat rutiner, dokumentation, erfarenheter, kompetenser och resursbehov. På grund av examensarbetets tidsperiod avgränsas undersökningen till att ge SFK Certifiering underlag inför en ackreditering och avser inte att genomföra kompletteringar eller framtagande av rutiner. Examensarbetet utgår från ett problem av praktisk natur där projektuppdragaren SFK Certifiering vill söka kunskap som går att använda för att utveckla och förändra befintligt verksamhetssystem. Arbetet startade med en explorativ studie där kunskap om informationssäkerhetsområdet inklusive ISO-standarder och andra föreskrifter inhämtades. Denna kunskap låg till grund i den fortsatta deskriptiva studien där detaljerade och grundliga kartläggningar av SFK Certifierings verksamhetssystem genomfördes. I examensarbetet har det framkommit att SFK Certifiering bör utveckla, integrera och implementera ett ledningssystem för informationssäkerhet. Detta för att höja organisationens informationssäkerhet, visa kunder och övriga intressenter att det aktivt arbetas med informationssäkerhet och även för att nå SWEDACs krav inför en ackreditering. Vid utveckling av informationssäkerhetssystemet föreslås SFK Certifiering inleda med ett strukturerat angreppssätt som tar hänsyn till organisationens egna specifika krav på säkerhet. Det ses därför fördelaktigt att SFK Certifiering startar med att utarbeta en informationssäkerhetspolicy. Eftersom säkerhetsarbetet har sin utgångspunkt både ur riskanalyser och ur förebyggande och korrigerande åtgärder bör riskanalyser genomföras parallellt med utarbetning av policy. Riskerna förändras över tid och det är därför betydelsefullt att SFK Certifiering kontinuerligt genomför riskanalyser och därefter åtgärdar förekommande brister. För att säkerställa informationssäkerheten i verksamheter ses endast fördelar med att införa och systemcertifiera ett ledningssystem för informationssäkerhet enligt ISO 27001. Inte minst på grund av att dagens standarder för ledningssystem är mer processorienterade än de tidigare standarderna där paragraferna stod i centrum. Med stöd av dessa nya standarder kan verksamheter utvecklas med, och ibland tack vare införandet av olika ledningssystem.
ii
ABSTRACT
ABSTRACT Information is an indispensable asset in all business activities and is often the key to the growth and success of organizations. Correct information at the right time can mean the difference between profit and loss, success and failure. Since the business world of today is integrated and thereby vulnerable it is important that organizations protect themselves from attacks. Information security identifies and protects the assets of the organization at the same time as the development and existence of the business activities are secured. To show customers and other interested parties that the work of information security has a central part in the organization, a management system for information security can be implemented and certified. A certified management system will increase the confidence of the organization by showing that all information is protected by a sufficient procedure, no matter where in the organization it is. This degree project is accomplished at the request of SFK Certifiering AB, a Swedish body accredited to perform certifications of management systems. The goal of the project is to give SFK Certifiering a basis to develop its business activity system and to guide the employees towards an accreditation according to ISO 27006:2007. The work aims at, before an application of accreditation, mapping out and analysing affected standards with regard to comparing the requirements with the existing management system including routines, documentation, competences and demands of resources of SFK Certifiering. Due to the time limit of this degree project, the research is confined to give SFK Certifiering a basis before an accreditation and does not intend to perform amplification or development of routines. This degree project starts from a problem of practical nature where the project commissioner wants to search for knowledge which will be of usage for the development and change of the current business activity system. The work started with an explorative study where knowledge about information security including ISO-standards and other regulations were obtained. This knowledge was the basis of the forthcoming descriptive study where detailed and thorough mapping of SFK Certifiering management system was made. The conclusion of this degree project is that SFK Certifiering should develop, integrate and implement a management system for information security. Thus, to raise the information security of the body, to show its customers and other interested parties that there is progressive work towards information security and even to be able to reach SWEDACs requirements towards an accreditation. When developing the system of information security, SFK Certifiering is suggested to approach it in a structural way with consideration to the unique security requirements of the body. It would be favourable that SFK Certifiering starts draw up an information security policy. Since all security work starts with the result from risk analyses, the work with risk analyses should be running parallelly with the policy work. The risks will change over time and therefore it is important that SFK Certifiering continuously implements risk analysis and after that takes care of occurring deficiencies. To secure the information security in business activities, there are only advantages when introducing and system certificating a management system for information security according to ISO 27001. Not the least due to today’s standards for management system are more process orientated than the previous standards, where paragraphs were in focus. With support from these new standards the business activities may develop with and sometimes thanks to the implementation of different management systems.
iii
TERMINOLOGI
Terminologi Ackreditering
Ackreditering innebär kompetensprövning och är ett formellt erkännande på att ett certifieringsorgan är kompetent att utföra specificerade certifieringar.
Certifiering
Certifiering innebär fortlöpande prövning av överensstämmelse. Vid certifiering kontrolleras att en organisation, produkt eller person bedöms uppfylla specificerade fastställda krav.
Gap-analys
En Gap-analys kan beskrivas som ett verktyg för att analysera var en verksamhet befinner sig idag mot vart de eftersträvar efter att befinna sig i framtiden.
Hot
Hot kan beskrivas som möjlig, oönskad händelse med negativa konsekvenser för verksamheten.
Informationssäkerhet
Informationssäkerhet ses som förmågan att bevara sekretess, riktighet och tillgänglighet hos information. Därutöver kan begreppet även innefatta spårbarhet och tillförlitlighet.
ISO
International Organisation for Standardisation. ISO är ett globalt standardiseringsorgan med 140 medlemsländer. I Sverige representeras ISO av SIS.
Kontinuitetsplan
En kontinuitetsplan är ett dokument som beskriver hur verksamheten skall bedrivas när kritiska verksamhetsprocesser allvarligt påverkas under en längre tidsperiod. Det kan sägas att en kontinuitetsplan är en reservplan för verksamheten.
LIS
Ledningssystem för informationssäkerhet.
PDCA-modellen
Ett ledningsverktyg för arbete med ständiga förbättringar och förändringsarbete. Plan-Do-Check-Act. Fritt översatt till svenska, Planera-Genomföra-Följa upp-Förbättra.
Policy
En policy är en övergripande avsikt och viljeinriktning formellt uttryckt av ledningen.
Risk
Risk kan ses som produkten av sannolikheten för att ett givet hot realiseras och därmed uppkommande skadekostnad.
Riskanalys
Riskanalys är en process som identifierar säkerhetsrisker och fastställer deras betydelse och identifierar skyddsåtgärder.
Riskbedömning
En riskbedömning är en övergripande process för riskanalys och riskutvärdering.
SFK
Svenska Förbundet för Kvalitet.
SIS
Swedish Standards Institute.
SWEDAC
Styrelsen för ackreditering och teknisk kontroll.
Tredje part
Tredje part är en person eller organisation som anses fristående från de berörda parterna i den aktuella frågan, exempelvis ett certifieringsorgan.
iv
INNEHÅLLSFÖRTECKNING
Innehållsförteckning 1. Inledning ............................................................................................................................................................ 1 1.1 Bakgrund ...................................................................................................................................................... 1 1.2 Problembeskrivning ..................................................................................................................................... 1 1.3 Syfte .............................................................................................................................................................. 2 1.4 Avgränsningar.............................................................................................................................................. 2 2. Metod ................................................................................................................................................................. 3 2.1 Val av ämne och organisation...................................................................................................................... 3 2.2 Olika typer av undersökningar..................................................................................................................... 3 2.3 Vetenskapligt förhållningssätt...................................................................................................................... 4 2.3.1 Kvalitativ eller kvantitativ metod ......................................................................................................... 4 2.3.2 Relation mellan teori och empiri .......................................................................................................... 5 2.4 Undersökningens upplägg............................................................................................................................ 5 2.5 Informationsinsamling ................................................................................................................................. 6 2.5.1 Litteraturgranskning ............................................................................................................................. 7 2.5.2 Intervjuer .............................................................................................................................................. 7 2.6 Tillvägagångssätt i projektet ........................................................................................................................ 7 2.6.1 Val av undersökningsmetod ................................................................................................................. 7 2.6.2 Vetenskapligt förhållningssätt .............................................................................................................. 8 2.6.3 Undersökningens uppläggning ............................................................................................................. 8 2.6.4 Informationsinsamling.......................................................................................................................... 8 2.6.5 Gap-analys............................................................................................................................................ 9 2.7 Metoddiskussion ........................................................................................................................................... 9 2.7.1 Källkritik ............................................................................................................................................ 10 3. Teoretisk referensram .................................................................................................................................... 11 3.1 Ledningssystem........................................................................................................................................... 11 3.2 Informationssäkerhet.................................................................................................................................. 12 3.2.1 Hot mot informationssäkerhet ............................................................................................................ 13 3.2.2 Risker.................................................................................................................................................. 14 3.2.3 Riskbedömning................................................................................................................................... 15 3.2.4 Metoder för analys.............................................................................................................................. 18 3.2.5 Kontinuitetsplanering ......................................................................................................................... 20 3.2.6 Utarbetande av säker informationshantering ...................................................................................... 20 3.2.7 Målsättning av informationssäkerhetsarbete ...................................................................................... 21 3.2.8 Utbildning av medarbetare ................................................................................................................. 22 3.2.9 Ständiga förbättringar inom informationssäkerhetsarbetet ................................................................. 22 3.3 ISO 27001:2006 Ledningssystem för informationssäkerhet....................................................................... 23 3.3.1 Orientering.......................................................................................................................................... 23 3.3.2 Omfattning.......................................................................................................................................... 24 3.3.3 Ledningssystem för informationssäkerhet .......................................................................................... 24 3.3.4 Ledningens ansvar .............................................................................................................................. 25 3.3.5 Interna revisioner................................................................................................................................ 25 3.3.6 Ledningens genomgång av LIS .......................................................................................................... 25 3.3.7 Förbättring av LIS .............................................................................................................................. 25 3.4 SWEDAC .................................................................................................................................................... 26 3.4.1 SWEDACs ackrediteringsmärke ........................................................................................................ 26 3.5 Ackreditering av certifieringsorgan ........................................................................................................... 26 3.5.1 Ackrediteringsprocessen..................................................................................................................... 27 3.6 ISO 17021:2006, Krav på organisationer som tillhandahåller revision och certifieringar av ledningssystem.................................................................................................................................................. 29 3.6.1 Omfattning.......................................................................................................................................... 29 3.6.2 Principer ............................................................................................................................................. 30 3.6.3 Allmänna krav .................................................................................................................................... 30 3.6.4 Strukturella krav ................................................................................................................................. 30 3.6.5 Resurskrav .......................................................................................................................................... 30
v
INNEHÅLLSFÖRTECKNING
3.6.6 Informationskrav ................................................................................................................................ 30 3.6.7 Processkrav......................................................................................................................................... 30 3.6.8 Krav på ledningssystem för certifieringsorgan ................................................................................... 31 3.7 ISO 27006:2007, Krav på organisationer som tillhandahåller revision och certifieringar av ledningssystem för informations-säkerhet........................................................................................................ 31 3.7.1 Tillägg ................................................................................................................................................ 31 3.8 STAFS 2007:13, SWEDACs föreskrifter och allmänna råd om ackreditering av organ som certifierar ledningssystem.................................................................................................................................................. 32 4. Företagsbeskrivning........................................................................................................................................ 33 4.1 SFK Certifiering AB – Det Värdeskapande Certifieringsorganet .............................................................. 33 4.2 Processrevision – SFK Certifieringsmetod vid revision............................................................................. 34 4.2.1 Kartläggning av processer och kompetenser ...................................................................................... 34 4.2.2 Mätning, styrning och kopplingar mellan processer........................................................................... 34 4.2.3 Revidering av processer...................................................................................................................... 34 4.2.4 Fördelar för kund ................................................................................................................................ 34 5. Nulägesanalys .................................................................................................................................................. 35 5.1 Ackrediterade certifieringsorgan ............................................................................................................... 35 5.2 Organisationer i Sverige certifierade enligt ISO 27001:2006 ................................................................... 35 5.3 SFK Certifierings ackreditering ................................................................................................................. 35 5.4 Kompletteringskrav .................................................................................................................................... 35 5.4.1 Kompletteringskrav enligt ISO 27006:2007....................................................................................... 35 5.4.2 Kompletteringskrav enligt STAFS 2007:13 ....................................................................................... 37 5.4.3 Kompletteringskrav enligt ISO 27001:2006....................................................................................... 38 6. Resultat ............................................................................................................................................................ 40 6.1 Erforderliga kompletteringar av SFK Certifierings verksamhetssystem.................................................... 40 6.1.1 Kompletteringar av kapitel i befintligt verksamhetssystem................................................................ 40 6.1.2 Kompletteringar av instruktioner i befintligt verksamhetssystem ...................................................... 43 6.1.3 Kompletteringar av blanketter i befintligt verksamhetssystem........................................................... 43 7. Rekommendationer......................................................................................................................................... 44 7.2 Förslag till implementeringsplan ............................................................................................................... 44 7.2.1 Steg 1, Informationssäkerhetspolicy................................................................................................... 45 7.2.2 Steg 2, Riskanalys .............................................................................................................................. 45 7.2.3 Steg 3, Säkerhetsorganisation............................................................................................................. 46 7.2.4 Steg 4, Implementering av ISO 27006 och tillämpliga krav enligt ISO 27001 .................................. 46 7.2.5 Steg 5, Utbildning............................................................................................................................... 46 7.2.6 Steg 6, Uppföljning............................................................................................................................. 47 7.3 Tips och förslag.......................................................................................................................................... 47 7.3.1 Beaktning vid framtagande och komplettering av rutiner .................................................................. 47 7.3.2 Utbildning........................................................................................................................................... 48 7.3.3 Resursbehov ....................................................................................................................................... 49 7.3.4 Tidsaspekt........................................................................................................................................... 49 7.4 Eventuella svårigheter................................................................................................................................ 49 7.5 Farhågor .................................................................................................................................................... 50 7.6 Förbättringspotential i nuvarande verksamhetsmanual............................................................................. 50 8. Diskussion ........................................................................................................................................................ 52 8.1 Utfört arbete............................................................................................................................................... 52 8.2 Fortsatt arbete............................................................................................................................................ 53 Käll- och litteraturhänvisning............................................................................................................................ 55 BILAGA 1.............................................................................................................................................................. 1
vi
INLEDNING
1. Inledning I kapitlets första del ges en introduktion av projektets bakgrund. Därefter följer en beskrivning över vad examensarbetet avser att undersöka och en presentation av syfte och avgränsningar.
1.1 Bakgrund I vår tids integrerade affärsvärld är fungerande informationshantering en viktig aspekt för att säkerställa infrastrukturen inom både offentlig och privat sektor. Informationssäkerhet är ett växande område på den svenska marknaden och är idag ett begrepp som är av stor betydelse för att säkerställa en organisations lönsamhet och dess fortsatta existens. Organisationers information är en av dess viktigaste och mest värdefulla tillgångar. Ofta är informationen så värdefull att en förlust innebär att organisationen kanske inte kan fortsätta sin verksamhet. Det är därför viktigt att informationen värderas och skyddas mot hot. Informationssäkerhet identifierar och skyddar organisationens tillgångar samtidigt som verksamhetens utveckling och fortlevnad säkerställs. För att organisationen skall ha möjlighet att ständigt förbättra informationssäkerheten skall information mätas, analyseras och övervakas. Innebörden av informationssäkerhetsarbete är att garantera att organisationens information, oavsett var den finns, behandlas säkert, är tillgänglig, riktig och spårbar. 1 Organisationer visar att de aktivt arbetar med informationssäkerhet genom att certifiera sitt ledningssystem enligt ISO 27001:2006, Ledningssystem för informationssäkerhet – Krav2. Ett certifierat ledningssystem höjer organisationens förtroende genom att visa intressenterna att all information skyddats på ett tillfredsställande sätt oavsett var i organisationen den finns. 3
1.2 Problembeskrivning SFK Certifiering AB är ett svenskt certifieringsorgan, ackrediterat för att utföra systemcertifieringar av ledningssystem. SFK Certifiering har utvecklat ett värdeskapande koncept för processrevision och kan därigenom vara sina kunder behjälpliga i arbetet med att förbättra och förfina sina flöden samt minska processernas variation och miljöpåverkan. Genom att erbjuda specialistkunskap och ett ökat tjänsteutbud vill SFK Certifiering arbeta med större företag och i nya branscher. Som ett led i ett utökat tjänsteutbud kommer en ackreditering enligt ISO 27006:2007 Krav på organisationer som tillhandahåller revision och certifiering av ledningssystem för informationssäkerhet4 att sökas. Vid en ackreditering enligt ISO 27006 ges SFK Certifiering möjlighet att genomföra revisioner och certifieringar enligt ISO 27001. För att SFK Certifiering skall ha möjlighet att erbjuda revision och certifiering enligt ISO 27001 är de i behov av att kartlägga vilka formella krav som ställs inför en ackreditering. Organisationen behöver även analysera sitt nuvarande verksamhetssystem och medarbetarnas kompetens i syfte att se vilka luckor det finns mellan önskat framtida läge och nuläge. För att undvika oavsiktliga misstag vid en implementering av informationssäkerhetsarbetet är det därför av betydelse att SFK Certifiering i ett tidigt stadium kartlägger vilka krav organisationen är föreskriven att uppnå.
1
Syrén, A., På egen risk, 2006, ss 6-8 Fortsättningsvis kallad ISO 27001 3 SWEDAC, Doc 00:8. Hur säker är din information?, 2000, s 3 4 Fortsättningsvis kallad ISO 27006 2
1
INLEDNING
1.3 Syfte Syftet med projektet är att ge SFK Certifiering underlag till att utveckla sitt verksamhetssystem och sina medarbetare för att nå de krav SWEDAC5 ställer inför en ackreditering enligt standard ISO 17021:2006 Krav på organisationer som tillhandahåller revision och certifiering av ledningssystem6, ISO 27006, STAFS 2007:13 SWEDACs föreskrifter och allmänna råd om ackreditering av organ som certifierar ledningssystem7 och certifieringsstandard ISO 27001. Arbetet syftar till att inför ackrediteringsansökan kartlägga och analysera berörda standarder i avseende att jämföra kraven med SFK Certifierings befintliga ledningssystem inkluderat rutiner, dokumentation, kompetenser och resursbehov. Syftet avser uppfyllas genom att följande undersökningsfrågor besvaras: - Vilka formella krav ställs på SFK Certifiering inför en ackreditering enligt ISO 27006? - Hur ser SFK Certifierings situation ut idag och finns det några gap mellan krav och nuläge? - Vad behöver SFK Certifiering tänka på vid implementering av informationssäkerhetsarbete? - Vad bör beaktas vid framtagande och kompletteringar av rutiner till SFK Certifierings nuvarande verksamhetssystem? - Vilken tid och vilka resurser är SFK Certifiering i behov av att avsätta till implementering av informationssäkerhetsarbete?
1.4 Avgränsningar Eftersom projektet är ett avslutande moment inom högskoleingenjörsprogrammet miljö- och kvalitetsmanagement kommer fördjupningen att ske utifrån ett kvalitetsperspektiv. Miljöperspektivet utlämnas eftersom området inte har någon koppling till informationssäkerhet. SFK Certifiering AB har idag övergångsregler till ISO 17021 från tidigare ackrediteringsregler. För att erhålla en ny ackreditering upphör övergångsreglerna att gälla och SFK Certifiering måste uppfylla samtliga krav i ISO 17021. På grund av tidsaspekten analyseras inte ISO 17021 specifikt i detta arbete. Dock finns de kompletteringar SFK Certifiering måste genomföra innan de kan ansöka om en ny ackreditering med under 6.1.1 Kompletteringar av kapitel i befintligt verksamhetssystem. På grund av projektets tidsperiod avgränsas undersökningen till att ge SFK Certifiering underlag inför en ackreditering. Projektet avser följaktligen inte att genomföra komplettering eller utarbetning av rutiner eller ansvara för kompetensutveckling och implementering.
5
Styrelsen för ackreditering och teknisk kontroll Fortsättningsvis kallad ISO 17021 7 Fortsättningsvis kallad STAFS 2007:13 6
2
METOD
2. Metod Kapitlet presenterar och beskriver rådande vetenskapliga metoder och forskningsprinciper. Dessa metoder och principer har använts för att utforma lämpliga forsknings- och undersökningsstrategier samt datainsamlingsmetoder för att nå syftet med projektet. Kapitlet avslutas med diskussion kring validitet och reliabilitet.
2.1 Val av ämne och organisation Inom högskoleingenjörsutbildningen miljö- och kvalitetsmanagement har författaren även studerat området risk och säkerhet. När författaren fick vetskap om att informationssäkerhet utgör ett stort potentiellt arbetsområde som kan kombineras med miljö- och kvalitetsarbete önskade författaren få möjlighet att fördjupa sig inom ämnesområdet. Författaren anser att informationssäkerhet är intressant eftersom det är ett relativt nytt och betydelsefullt område som är under utveckling. SFK Certifiering är ett ackrediterat certifieringsorgan8 som önskar bredda organisationens kompetens och utbud genom att ackrediteras enligt ISO 27006. Författaren anser att SFK Certifiering är en intressant organisation bland annat på grund av deras gedigna kompetens avseende revisioner inom bland annat miljö och kvalitet. Dessutom har organisationen ett stort intresse av att skaffa sig kunskap om informationssäkerhetsarbete. Författaren valde projektet hos fallstudieorganisationen dels eftersom undersökningen kommer att bidra med användbar information för SFK Certifierings verksamhet och dels för att författaren är mycket intresserad av revisionsarbete.
2.2 Olika typer av undersökningar Det finns flera olika typer av undersökningar, gemensamt är att de alltid startar med ett problem. Problemet behöver inte vara något problematiskt utan syftar på det som undersökningen avser att lösa eller belysa. Ett problem är följaktligen något undersökningen ger mer information eller fördjupad kunskap inom. De flesta undersökningar klassificeras utifrån vilken kunskap som finns inom valt område innan undersökningen påbörjas. Explorativa undersökningar genomförs främst vid utredande undersökningar, när kunskapen är bristfällig. Vid dessa undersökningar används ofta flera olika tekniker för att samla information. Syftet med explorativa undersökningar är att belysa området från olika håll, genom att inhämta så mycket kunskap som möjligt om området. Ytterligare en mening med explorativa studier är att erhålla kunskap som kan ligga till grund för vidare studier. Finns det redan kunskap inom området som kan klassificeras i form av modeller är undersökningen istället beskrivande och kallas deskriptiv. Beskrivningarna är grundliga och detaljerade och genomförs oftast av några få aspekter i dåtid eller av nutid. Beskrivningarna kan antingen genomföras av varje aspekt var för sig eller genom beskrivningar av samband mellan olika aspekter. Vid deskriptiva undersökningar används främst endast en teknik för att samla information. Inom områden där det redan finns omfattande teori kan undersökningen istället vara hypotesprövande. Vid hypotesprövande undersökningar finns det tillräckligt med kunskap inom området för att det utifrån teori kan förklaras antaganden om verkliga förhållanden. Antagandena uttrycker samband och kallas hypoteser. Vid hypotesprövande undersökningar insamlas informationen med tekniker som ger så exakt information som möjligt. 9
8 9
Se kapitel 4. Företagsbeskrivning Patel & Davidson, Forskningsmetodikens grunder, 2003, s 9; ss 12-13
3
METOD
2.3 Vetenskapligt förhållningssätt Det vetenskapliga förhållningssättet forskaren bestämmer sig för påverkar hela forskningsprocessen. Med forskningsprocessen menas allt från hur problemet formuleras, hur arbetet genomförs och slutligen hur resultatet presenteras. Gränserna mellan utvecklingsarbete, utredning och forskning är svävande. De kan skiljas åt med hänseende på förhållandet till produktion av kunskap och utnyttjande av kunskap, se figur 1. Det grundläggande syftet med utredningar och forskning är att producera kunskap vilken kan vara mer eller mindre förankrad i befintlig vetenskap. Primärsyftet med utvecklingsarbete är att bidra till förändringar genom att utnyttja den kunskap som redan finns. Vid undersökningar där befintlig kunskap är otillräcklig, alternativt om det behövs specifik kunskap för aktuellt område är produktion av kunskap en del av utvecklingsarbetet. Dessa undersökningar kombinerar kunskapsproduktion och utnyttjande av kunskap i samma arbete. Dessa arbeten brukar kallas forsknings- och utvecklingsarbeten, FoU. Gemensamt för olika typer av forskningsprocesser är att processen inleds med studier av tidigare dokument och den avslutas med att författaren själv författar ett dokument. 10
Figur 1, Skillnaden mellan utredning, forskning och utvecklingsarbete utifrån förhållandet till produktion och utnyttjande av kunskap. Källa: Patel & Davidsson (2003) s 11
2.3.1 Kvalitativ eller kvantitativ metod Valet mellan kvalitativ metod som uttrycker sig i ord och den kvantitativa metoden som uttrycker sig i siffror bestäms av undersökningens syfte. I kvalitativt inriktad forskning avser forskaren att gestalta något genom att systematisera verbala analysmetoder. Tillvägagångssättet är lämpligt att använda när undersökningssammanhangen är naturliga och när forskningen syftar till att förstå innebörd och tolkningar i intervjuer, fallstudier, observationer samt i dokument och texter. I den kvalitativa forskningen arbetar forskaren för det mesta med ostrukturerade frågeställningar där olika uppslag, tankar och idéer successivt fördjupas vilket resulterar i att en teori växer fram. Metodiken har ett förutsättningslöst förhållningssätt där forskaren försöker möta situationen som om den vore ny. Forskningen bygger på individuell tolkning eller bearbetning av resultat när den pekar på det unika i situationer och händelser. För att forskaren skall få möjlighet att se en fullständig bild av situationen strävar den kvalitativa metoden efter en helhetsförståelse av bestämda förhållanden. Enligt den kvalitativa forskningen sker informationsinsamling och analys i samspel och kan endast förstås om de ses i sitt sammanhang. 11
10 11
Patel & Davidson, ss 10-12; ss 39-40 Olsson, & Sörensen, Forskningsprocessen. Kvalitativa och kvantitativa perspektiv, 2007, ss 36-37; ss 63-66; s 79
4
METOD
Kvantitativ metodik karaktäriseras av standardisering och utgår dels från forskarens egna erfarenheter inom området och dels på teori grundad på tidigare forskningsresultat inom området. Metoden använder sig av strukturerade instrument och visar generella samband och skillnader med utgångspunkt i siffermässig analys. Det vill säga från numeriska observationer eller observationer som låter sig transformeras till sådana. Den kvantitativa metodiken har behov av information om mängden. Informationsinsamling och analys sker separat genom exempelvis frågeformulär, enkäter, experiment, prov och tester. Kvantitativ inriktad forskning arbetar med strukturerade frågeställningar vilka har formulerats i förväg. Frågeställningarna utgår mestadels från en teori som specificeras i form av hypoteser vilka kan verifieras eller förkastas. Kvantitativa forskare använder ibland sig av kvalitativ metodik som en förberedelse eller komplement till den kvantitativa studien. De två metoderna utesluter inte varandra utan kan användas för insamling och bearbetning i kombination med varandra, i en så kallad metodtriangulering. Det vill säga där två kända linjer ger en tredje punkt. Beteckningen innebär att motsättningar inte utesluter varandra utan var för sig uttrycker de betydelsefulla sidor av studerat objekt. 12
2.3.2 Relation mellan teori och empiri Forskare arbetar med att konstruera teorier med avsikt att ge en korrekt kunskap om verkligheten, empirin. Forskarens huvudsakliga arbete består av att relatera teori och verklighet till varandra, vilket företrädesvis kan ske genom två olika strategier, deduktiv eller induktiv. En deduktiv ansats innebär att forskaren följer bevisandets väg eftersom forskaren utgår från befintliga teorier och allmänna principer för att dra slutsatser om enskilda händelser. 13 En induktiv ansats innebär istället att det dras allmänna och generella slutsatser utifrån empirisk fakta. Vid ett induktivt angreppssätt följs upptäckandets väg, detta genom att forskaren startar i empirin. Forskaren inleder med att samla in data för att därefter formulera begrepp i form av hypoteser eller teorier. 14 Vid utvecklingsarbete har forskaren inte ambition att producera kunskap i form av teorier. Detta gör att utvecklingsarbete vare sig är utpräglat deduktivt eller induktivt i vetenskaplig mening. Istället kan forskaren tillämpa den teori som passar för det aktuella problemet eller dra slutsatser om enskilda företeelser utan att formulera sig teorietiskt. 15
2.4 Undersökningens upplägg Beroende på hur problemformuleringen är uttryckt genom syfte och frågeställningar bestämmer forskaren hur undersökningen skall genomföras, se figur 2. Beslut som forskaren måste fatta är vilka tekniker som skall användas för informationsinsamling, vilka personer som skall medverka och hur tidsplanen skall läggas upp. Vanliga tekniker vid informationsinsamling är surveyundersökning, fallstudie och experimentella metoder. En surveyundersökning används ofta när undersökningen avser att samla in information om ett stort antal variabler med en stor mängd information om varje variabel. Undersökningen genomförs ofta med hjälp av frågeformulär eller intervjuer och besvarar frågorna när, hur, vad och var. 16
12
Olsson, & Sörensen, ss 36-37; s 67; s 90 Patel & Davidson, s 23 14 Backman, J., Rapporter och uppsatser, 1998, s 48 15 Patel & Davidson, ss 23-25 16 Patel & Davidson, s 53 13
5
METOD
Figur 2, Forskningsprocessens steg i förhållande till forskarens vetenskapliga förhållningssätt. Källa: Patel & Davidson (2003) s 40
Fallstudier används ofta vid kvalitativ forskning vilken genomförs på en mindre grupp, organisation eller situation. Metoden undersöker en företeelse i sin naturliga miljö där gränserna inte är givna. Fallstudier anses lämpliga i utvärderingar där undersökningsobjekten är komplexa och används ofta vid förklaring, förståelse eller beskrivning av stora företeelser, organisationer eller system. Fallstudier behöver inte begränsas till endast ett fall utan det kan ingå flera fall i samma studie. Dessutom kan fallstudier ha olika avsikter som beskrivande, förklarande eller undersökande. För att skaffa ingående kunskaper om själva processen utgår fallstudier från ett helhetsperspektiv. 17 Experimentella undersökningar gör det möjligt att dra slutsatser om orsak och verkan. Forskaren har möjlighet att studera enstaka variabler och försöka få kontroll över det som kan påverka dessa variabler. Vid experiment försöker forskaren alltså kontrollera alla faktorer som kan påverka den eller de oberoende variablerna och den beroende variabeln. 18
2.5 Informationsinsamling Det finns ett stort antal metoder för att samla in information för att få projektets syfte och frågeställningar besvarade. Vid val av teknik skall hänsyn tas till vad som passar i förhållande till den kunskap som önskas, i förhållande till tänkta undersökningsområde, samt i förhållande till den tid och de medel forskaren har till sitt förfogande. Vanliga tekniker vid informationsinsamling är studier av primärkällor, det vill säga ögonvittnesskildringar och förstahandsrapportering samt studier av sekundärkällor. Till sekundärkällor hör exempelvis dokumentgranskning samt analysering av befintliga dokument, tester och prov. 19
17
Backman, J., ss 48-50 Bell, J., Introduktion till forskningsmetodik, 2005, ss 25-27 19 Patel & Davidson, ss 63-65 18
6
METOD
2.5.1 Litteraturgranskning En litteraturgranskning omfattar en undersökning av olika dokument som exempelvis statistik och regler, officiella och privata handlingar, facklitteratur, skönlitteratur, biografer, tidningar, broschyrer och information från internet samt bild- och ljuddokument. För att skapa ett helhetsperspektiv rekommenderas det att litteratur väljs utifrån forskarens möjlighet att skapa sig en fullständig bild över området. Litteraturvalet skall säkerställa att det som undersöks blir belyst från olika synvinklar. Vid val av litteratur är det betydelsefullt att tillförlitligheten bedöms. För att forskaren skall ha möjlighet att bedöma om insamlad fakta eller upplevelser är tillförlitlig bör forskaren ha ett kritiskt förhållningssätt till vald litteratur. När litteratur används är det viktigt att det görs en bedömning av när, var och varför information har tillkommit samt i vilket syfte och av vem. 20
2.5.2 Intervjuer Intervjuer är en vanlig metod för informationssamling. Fördelar med intervjuer är att de är flexibla och att de ger intervjuaren möjlighet att följa upp idéer, utforska svar samt gå in på motiv och känslor. För att få korrekta och tillförlitliga svar är det nödvändigt att intervjupersonen vill svara på frågorna. Det är därför angeläget att intervjuaren på ett klart och tydligt sätt klargör syftet med intervjun, vad svaren kommer att användas till och om svaren är konfidentiella. Intervjuaren kan antingen använda sig av strukturerade eller ostrukturerade frågor. Vid intervjuer bör frågorna hållas korta, öppna och förutsättningslösa och ställas på ett språk som är begripligt för intervjupersonen. 21 En kategori av intervjuer är kvalitativa intervjuer. Vid kvalitativa intervjuer ger intervjuaren intervjupersonen stort utrymme att svara på frågorna med egna ord. Intervjuaren kan själv bestämma om samtalet skall löpa fritt och om frågorna därmed ställs vart eftersom de kommer upp, eller om frågorna skall ställas i en bestämd ordning. Syftet med en kvalitativ intervju är att upptäcka och identifiera egenskaper hos någonting. Vid kvalitativa intervjuer är både intervjuare och intervjuperson medskapande i samtalet. För en lyckad intervju bör intervjuaren ge intervjupersonen självförtroende och underlätta för samtalet så att inte denne blir hämmad. Genomförande av kvalitativa intervjuer kräver att intervjupersonen har kunskap och är förberedd inom det område som skall studeras. 22
2.6 Tillvägagångssätt i projektet Examensarbetet utgår från ett problem av praktisk natur där projektuppdragaren SFK Certifiering vill söka kunskap som går att använda för att utveckla och förändra befintligt verksamhetssystem. Intresset för att studera problemet började när jag som författare fick kontakt med SFK Certifiering vilka påtalade att de önskade information och kunskap om informationssäkerhet samt att de ville utöka sitt kompetensområde genom att ackreditera organisationen att utföra certifieringar av ledningssystem för informationssäkerhet.
2.6.1 Val av undersökningsmetod Eftersom undersökningsproblemet i detta projekt är av beskrivande art samtidigt som det innan undersökningen startade saknades kunskap avseende vilka aspekter som var viktiga att belysa, startade projektet med en explorativ studie.
20
Patel & Davidson, ss 63-65 Bell, J., ss 157-159 22 Patel & Davidson, ss 77-79 21
7
METOD
Detta för att jag som författare skulle få möjlighet att skaffa mig kunskap inom området och därigenom få en mångsidig belysning av problemområdet. Resultatet av den explorativa studien visualiserade vad som behövde undersökas närmare under den fortsatta deskriptiva studien. Vid den deskriptiva studien genomfördes detaljerade och grundliga undersökningar av SFK Certifierings verksamhetssystem i syfte att analysera och kartlägga vad som eventuellt behöver kompletteras för att SFK Certifiering skall erhålla ackreditering att revidera och certifiera ledningssystem för informationssäkerhet.
2.6.2 Vetenskapligt förhållningssätt Projektet utgår från ett forsknings- och utvecklingsarbete. Undersökningen startade med ett forskningsarbete i avsikt att författaren skulle erhålla vetenskaplig kunskap för att sedan ha möjlighet att fortsätta med ett utvecklingsarbete. Syftet med utvecklingsarbetet är att bidra till förändring genom att starta en process som innebär utveckling av SFK Certifierings nuvarande verksamhetssystem. Detta projekt utgår främst från en kvalitativ forskningsprocess. Eftersom en kvalitativ metod är flexibel och dynamisk ger den utrymme för variationer vilket anses passa bra i denna undersökning. Genom att i projektet anta ett kvalitativt förhållningssätt kan en helhetsbild av projektet ses vilket kan ge svar på den valda problemformuleringen och därigenom kan projektets syfte uppnås. Under projektet har informationsinsamling, analys av förordningar, standarder och SFK Certifierings befintliga verksamhetssystem skett i samverkan. Eftersom projektet både är ett forskningsarbete och ett utvecklingsarbete valdes ett deduktivt förhållningssätt. Vid ett utvecklingsarbete ligger inte ambitionen i att producera kunskap i form av teorier. Istället vill författaren tillämpa teorier och dra slutsatser som passar för att utveckla SFK Certifierings verksamhetssystem i avsikt att erhålla ackreditering inom informationssäkerhet. Inom forskningsavsnittet ligger befintlig teori till grund för vilken information som har samlats in, hur den har tolkats samt hur resultat har relateras till teori.
2.6.3 Undersökningens uppläggning Projektet valdes att utföras som en fallstudie eftersom avsikten var att studera en organisation med en avgränsad aspekt av ett problem under en begränsad tidsperiod. Fallstudiens största fördel är att jag som författare ges möjlighet att fokusera på hur informationssäkerhet kan integreras i SFK Certifierings befintliga verksamhetssystem.
2.6.4 Informationsinsamling För att samla in data till projektet har både primära och sekundära källor använts. Inför formulering av syfte och frågeställning påbörjades en litteraturgranskning av sekundärkällor i form av artiklar, böcker, databaser, rapporter och standarder som redan innehåller befintlig information och kunskap inom valt område. Därefter genomfördes en kartläggning av SFK Certifierings verksamhetssystem genom att studera primära källor i form av intervjuer och granskning av befintligt verksamhetssystem. För att skaffa en översikt av befintlig kunskap inom området samt för att visa på betydelsen av problem och vara till hjälp vid precisering och definition av begrepp har en omfångsrik litteraturstudie genomförts. Litteraturstudien har gett ett historiskt perspektiv samt beskrivit metodiska uppslag och procedurer. Litteraturstudien har främst behandlat fackböcker, ISOstandarder och SWEDACs föreskrifter och allmänna råd om ackreditering av organ som certifierar ledningssystem beställda via SIS23 och SWEDAC. En del litteratur har även införskaffats via Luleå tekniska universitets bibliotek och Göteborgs universitets bibliotek. 23
Swedish Standards Institute
8
METOD
Information har även hämtats genom sökning på internet. Vid sökning på internet har sökord som ackreditering, informationssäkerhet och ledningssystem samt olika kombinationer av dessa använts. Under projektet har personliga kvalitativa intervjuer genomförts. Personliga intervjuer har valts eftersom jag som författare själv har haft möjlighet att anteckna ned svaren samtidigt som jag gavs möjlighet att se och höra hur intervjupersonen formulerade sina svar. Kvalitativa intervjuer har valts på grund av att intervjupersonerna ges maximalt utrymme för sina svar, något som ansågs fördelaktigt i avseende att upptäcka och identifiera egenskaper hos SFK Certifierings verksamhetssystem och arbetssätt. Intervjupersoner i projektet är SFK Certifierings utvecklingschef samt en teknisk expert inom informationssäkerhet. Därtill har SFK Certifierings kontaktperson på SWEDAC intervjuats i syfte att erhålla djupare kunskap om SWEDACs ackrediteringsverksamhet.
2.6.5 Gap-analys En gap-analys är en formell studie över vad organisationen befinner sig och var den vill befinna sig i framtiden. Gap-analysen används som ett verktyg vilket underlättar för organisationen att jämföra sin nuvarande situation med en förväntad situation i syfte att upptäcka de gap som behöver utjämnas. 24 SFK Certifierings nuvarande situation avseende verksamhetssystem, kompetens och resurser har jämförts mot avsedd ackreditering för att revidera och certifiera ledningssystem för informationssäkerhet. Målet med analysen var att identifiera gapet mellan nuvarande situation gentemot den optimala samt integrering av resurser. Gap-analysen kan sägas vara en formell studie på var SFK Certifiering befinner sig idag mot vart de eftersträvar att befinna sig i framtiden. Modellen används ofta vid analyser av orsaker till kvalitetsproblem och som ett verktyg för ledningen i att få förståelse för hur tjänstekvalitén kan förbättras.
2.7 Metoddiskussion Oavsett vilken metod en undersökning använder sig av är det viktigt att alltid kritiskt granska metoden för att avgöra hur tillförlitlig och aktuell informationen är. Reliabilitet är ett mått på tillförlitligheten. Tillförlitligheten definierar i vilken utsträckning ett instrument eller tillvägagångssätt ger samma resultat om mätningarna sker vid olika tillfällen och med lika förhållanden. Validitet är ett mått på om undersökningen har mätt eller beskrivit vad som avsett att undersökas. 25 Genom att ständigt ha projektets syfte och frågeställningar i minne anser jag som författare att jag i största möjliga utsträckning har undersökt det som avsett att undersökas. För att säkerställa projektets reliabilitet har analysen genomförts med ett objektivt synsätt mot gällande standarder. Det kan därför anses att en ytterligare analys av samma område med största sannolikhet kommer att ge samma mätresultat. Genom ett deduktivt arbetssätt antas objektiviteten i undersökningen kunna stärkas genom att utgångspunkten tas i redan befintlig teori. Undersökningsprocessen blir då i mindre utsträckning färgad av den enskilde forskarens personliga uppfattningar. En fara ligger i att den befintliga teori som forskaren utgår från kommer att styra och påverka forskningen så att intressanta nya rön inte upptäcks. Vid ett induktivt arbetssätt finns det risk att de teorier som produceras färgas av forskarens egna idéer och förställningar. 26
24
Bergman & Klefsjö, Kvalitet från behov till användning, 2001, ss 327-330 Bell, J., s 117-118 26 Patel & Davidson, s 23 25
9
METOD
Under projektet har jag som författare försökt att hålla en objektiv inställning. Det finns risk att objektiviteten kan ha påverkats av de intervjupersoner och den litteratur jag har kommit i kontakt med. För att minska denna påverkan valdes litteratur i syfte att belysa problemområdet från flera olika håll. Eftersom intervjuerna tar lång tid i anspråk har det inte funnits tid för ett stort antal intervjuer i projektet. När endast ett fåtal intervjuer genomförs finns det risk för att informationen blir vinklad och det kan således uppstå svårigheter vid analysering. För att motverka detta intervjuades medarbetare från både SFK Certifiering och SWEDAC. Dessutom har intervjupersonerna varit remissinstans på utarbetat material.
2.7.1 Källkritik För att forskaren skall ha möjlighet att bedöma om insamlad fakta är trovärdig är det viktigt att forskaren har ett kritiskt förhållningssätt till vald litteratur. Vid analys av källmaterial kan forskaren använda sig av extern eller intern granskning. Vid extern granskning skaffar sig forskaren kunskap huruvida källan är äkta och tillförlitlig samt om källan ger en sann bild av sökt område. Forskaren bör även undersöka när, var och varför dokumenten kommit till samt vilket syfte upphovsmannens hade med dokumentet. Intern granskning syftar främst till att undersöka källans innehåll med hänseende på vilken typ av källa det handlar om, vem som är upphovsman och vad källan i själva verket avser berätta. Forskaren bör även undersöka när och under vilka omständigheter källan skapades, om källan är fullständig och om den är representativ eller originell i jämförelse med annat källmaterial. 27 Under projektet har främst intern granskning använts, detta eftersom projektet är av mindre karaktär. I den utsträckning jag som författare har haft möjlighet har källans författare och övriga upphovsmän granskats avseende deras kunskap inom informationssäkerhet, ledningssystem, ackreditering och standarder. I möjligaste utsträckning har det under projektet säkerställts om källan är fullständig, representativ eller originell i jämförelse med övrigt material inom området. Detta har skett genom att ett kritiskt förhållningssätt har antagits där det i möjligaste utsträckning har genomförts bedömningar av använda källors värde. Det har upplevts svårt att jämföra befintlig litteratur eftersom det endast finns begränsad upplaga inom området.
27
Bell, J., ss 130-135
10
TEORETISK REFERENSRAM
3. Teoretisk referensram Kapitlet presenterar teorier som ligger till grund för projektet. Inledningsvis beskrivs ledningssystem i allmänhet, därefter redogörs mer specifikt för informationssäkerhet. Avslutningsvis behandlas teorier som i projektet används och berör ackreditering och uppföljning.
3.1 Ledningssystem Ett ledningssystem hjälper organisationen att stärka och utveckla sin verksamhet genom att vara ett verktyg som används för att styra och förbättra kvaliteten på organisationens tjänste- och produktprocesser. Ledningssystemet skall omfatta hela organisationen och innefatta allt från rutiner och metoder till organisation och befogenheter. 28 För att ge ledningen möjlighet att planera organisationens långsiktiga överlevnad på ett effektivt och systematiskt sätt skall samtliga av organisationens delar styra, påverka och förbättra kvalitén. 29 Ett ledningssystem är ett verktyg som beskriver de hjälpmedel och resurser organisationen är i behov av för att upprätta och följa policy och mål. För att få råd, tips och idéer vid upprättande, införande och utveckling av ledningssystem finns ett flertal skrifter och böcker att tillgå. Vid arbete med ledningssystem är det viktigt att arbetet både startar och fortlöper med rätt inställning från ledning och medarbetare. Det är även av stor vikt att samtliga medarbetare är införstådda med standardens syfte. Standarden skall användas som en vägledning för att ledningssystemet skall kunna användas och fungera i organisationens vardag. En manual som beskriver ledningssystemet bör skapas, denna manual bör innehålla rutiner för verksamheten samt beskriva policys och övrig verksamhet. Manualen visar upp en aktuell beskrivning av organisationen och arbetssätt för att kunna tillfredsställa kundernas krav och förväntningar. 30 I ledningssystemet är det viktigt att rutinerna beskriver processerna i verksamheten. För varje process skall rutinerna svara på frågorna; hur, när, vad, var, varför och vem. Utformningen av ledningssystemet är en strategisk åtgärd som bestämmer hur organisationen kommer att styras för att nå uppsatta mål. För att verksamhetsmålen skall uppfyllas är det viktigt att ledningssystemet förstår verksamhetens processer och vad de skall åstadkomma. Ledningssystemet skall styra och leda dess processer samt följa upp utfall och prestanda mot fastställda mål. Långsiktigt skall ledningssystemet förbättra processerna och deras utfall. Vid implementering av ledningssystem är det viktigt att kommunikation och utbildning fungerar tillfredsställande, detta för att ledningssystemet skall bli framgångsrikt. Nyckeln till ett effektivt ledningssystem är bland annat ständiga förbättringar och att hela organisationen är involverade i ledningsfilosofin. 31 Genom en tredjepartsrevision och eventuell certifiering kan en utomstående utvärdera organisationens styrkor och förbättringsmöjligheter. För högsta ledningen ger en tredjepartsrevision en ökad kunskap om organisationens förmåga att nå de strategiska målen. 32
28
Berggren et. al. 9000 Goda Råd, att bygga kvalitetssystem i företag, 2004, ss 11-12; s 21 Piper & Carty, Ledningssystem för miljö, kvalitet och arbetsmiljö, 2004, s 11 30 Persson, G., Att integrera ledningssystem – bygga ett verksamhetssystem, 2004, s 9; s 17 31 Rosam & Peddle, Att bygga ett processbaserat ledningssystem för verksamhetsförbättring, 2004, ss 7-11 32 Winberg, P.-O., 2007-04-10 29
11
TEORETISK REFERENSRAM
3.2 Informationssäkerhet Information har ett affärsmässigt värde och är en oumbärlig tillgång i all verksamhet. Information är ofta nyckeln till organisationers tillväxt och framgång. Rätt information vid rätt tidpunkt kan betyda skillnaden mellan vinst och förlust, framgång eller misslyckande. Eftersom informationen hotas på flera sätt, både internt och externt, bör den få ett lämpligt skydd. Informationen kan även behöva skyddas till följd av exempelvis lagkrav eller kundkrav. Brister i informationssäkerheten påverkar hela organisationen, bland annat kan förlust av affärsinformation få allvarliga konsekvenser med påverkan på kvalitet, kassaflöde och förmågan att tillgodose samt uppfylla kundkrav. Även organisationens rykte kan påverkas negativt om informationen hanteras på felaktigt sätt. I förlängningen påverkas organisationens konkurrensförmåga. 33 Informationssäkerhet uppnås genom att lämpliga skyddsåtgärder införs, vilka lämpligen samordnas med andra verksamhetsprocesser. Genom att fastställa, uppnå, bibehålla och förbättra informationssäkerheten kan organisationen upprätthålla dess konkurrensförmåga, kassaflöde och lönsamhet. För att säkerställa att organisationens specifika säkerhets- och verksamhetsmål uppfylls behöver skyddsåtgärder utarbetas, införas, övervakas, kontrolleras och förbättras. Informationssäkerhet medverkar till att säkerställa informationens kontinuitet genom att skydda den mot omedveten eller medveten ändring, utplånande och obehörigt avslöjande. 34 Formuleringen informationssäkerhet består av orden information och säkerhet. Information syftar till den samlade informationen som vid samma tillfälle finns i organisationen. Informationen kan finnas i utskrifter, tryckt eller skriven på papper, skickad elektroniskt eller med post, elektroniskt lagrad eller arkiverad i ett arkiv, förvarad på hårddisken på en dator eller förekomma i form av kunskap hos organisationens medarbetare. Med säkerhet menas känslan av att vara och känna sig säker. Det sammansatta ordet informationssäkerhet betyder att informationen skall vara riktig, spårbar, säker och tillgänglig. Detta för att organisation, medarbetare, ägare, kunder, intressenter och leverantörer skall kunna vara säkra på att informationen är äkta och tillförlitlig. Är informationen äkta och tillförlitlig kan samtliga intressenter känna sig säkra eftersom informationen då inte behöver ifrågasättas. Informationssäkerhet syftar på att organisationen ständigt skall hantera alla kategorier av information på ett säkert sätt. Begreppet inkluderar hela organisationens infrastruktur och omfattar samtliga åtgärder organisationen kan genomföra för att vara och känna sig säker. 35 Informationssäkerhet sammankopplas ofta felaktigt endast med IT-säkerhet. Figur 3 beskriver relationen mellan de underordnade begreppen. 36
33
SIS Broschyr, Företagsledningen och informationssäkerheten, 1999, ss 4-5 SS-ISO/IEC 17799:2005, Ledningssystem för informationssäkerhet - Riktlinjer för styrning av informationssäkerhet, 2005, s viii 35 Syrén, A., ss 64-67 36 SIS Teknisk rapport, Ge din informations rätt säkerhet – Handbok i informationssäkerhetsarbete, 2006, kapitel 1 s 1 34
12
TEORETISK REFERENSRAM
Informationssäkerhet
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT – säkerhet
Data säkerhet
Kommunikationssäkerhet
Figur 3, Relation mellan de underordnade begreppen inom informationssäkerhet. Källa: SIS Handbok 550 (2003) s. 7
God informationssäkerhet är en investering och en billig försäkring för alla organisationer, oavsett storlek och verksamhet. Utgångspunkten för allt informationssäkerhetsarbete är verksamhetens behov av säkerhetsskydd för troliga och oönskade kommande händelser. Informationssäkerhetsarbetet inleds därför med en övergripande analys av organisationens verksamhet. Denna analys genomför vid starten av arbetet och följs upp med riskanalyser. Riskanalyserna utgör grunden till allt fortsatt informationssäkerhetsarbete och genomförs kontinuerligt i verksamheten, se avsnitt 3.2.3 Riskbedömning. Nyckelbegrepp som utgör de grundläggande principerna för informationssäkerhetsarbetet är sekretess, riktighet, tillgänglighet och spårbarhet. Med sekretess menas att medarbetare enbart har tillgång till den information de är behöriga till. Riktighet innefattar att informationen är tillförlitlig och att det finns skydd mot otillåtna ändringar och annan påverkan. Tillgänglighet visar på att informationen är tillgänglig och finns i rätt omfattning när den behövs och kan nås av behöriga användare. Spårbarhet menar att det i efterhand går att rekonstruera och se vem som har haft tillgång till, och vad som skett med informationen. 37 Eftersom det mesta av den information som skapas i en organisation är unik och har ett affärsmässigt värde är det viktigt att skydda informationen på ett tillfredsställande sätt. Informationen kan även behöva skyddas på grund av etiska skäl eller krav på sekretess. Skydd av information innebär att organisationen vidtar nödvändiga åtgärder för att säkerställa att informationen är korrekt och uppdaterad, att den inte försvinner, förvanskas eller manipuleras samt att informationen hanteras så att behöriga medarbetare har tillgång till rätt information. 38
3.2.1 Hot mot informationssäkerhet Ett resultat av samhällets ökade integration är att informationshantering idag är mer sårbar och utsätts för ett ökat antal och olika typer av hot vilka ständigt förändras. Informations-säkerhet har därför blivit en fråga som idag inkluderar organisationens samtliga intressenter. 39 37
Syrén, A., ss 9-13; s 65 SWEDAC, Doc 00:8. Hur säker är din information?, 2000, s 2 39 SS-ISO/IEC 17799:2005, s viii 38
13
TEORETISK REFERENSRAM
Hot mot informationssäkerheten inkluderar brand, strömavbrott, vattenskador samt maskin- och programvarufel. Hot kan även vara avsiktliga försök att skaffa, förstöra eller manipulera information, alternativt stöld av utrustning. Utrustningen går många gånger att ersätta, däremot är informationen oftast oersättlig. Andra hot mot information är ändring utan styrning från ledning, att medarbetare med unik information slutar eller att medarbetare oavsiktligt begår misstag på grund av bristande kompetens. 40 Tekniska lösningar som är formade för att dela information blir allt fler. Informations-systemen är dock många gånger inte utformade med tanke på säkerhet och i takt med att teknikutvecklingen ökar, ökar även informationsläckor hos organisationer. Säkerhet som kan åstadkommas genom tekniska system är ofta begränsad och bör stödjas av lämplig styrning och passande rutiner. 41
3.2.2 Risker Samhällets tekniska utveckling medför fler och fler risker inom informationssäkerhet. Risker är något alla organisationer vill undvika och om inte annat kontrollera. Risk handlar om att hantera osäkerhet avseende eventuella oönskade händelser som kan uppstå men också om fara och rädsla. Användning av riskbegreppet skiftar över tid, mellan vetenskapliga läror och mellan sociala och kulturella kontexter. Eftersom risker är subjektiva och dessutom socialt och kulturellt konstruerade finns det många definitioner av begreppet. Vid beslut bör varje risk därför vara relaterat till den beslutssituation som avses. 42 I det vardagliga språket talas det oftast om att risk är en skadlig händelse som kan komma att inträffa men att det inte är säkert att den gör det. Risk kan även definieras - som sannolikheten för en skadlig händelse. Definitionen kan förklaras genom hur troligt det är att en oönskad händelse inträffar. Denna definition används mest av forskare i mer precis mening för olika begrepp. - med produkten av sannolikheten och skadans storlek. Definitionen kallas för förväntat värde och kan förklaras av att risken värderas genom att ta fram resultatet av skadan genom att multiplicera hur troligt det är att händelsen inträffar med skadans storlek. Definitionen används företrädesvis om det finns ett mått på hur skadlig händelsen är, exempelvis antalet omkomna i en flygkrasch. - som en kombination av en slumpmässig händelse med negativa konsekvenser för människors liv, hälsa eller miljö och sannolikheten för denna händelse. Denna definition kan förklaras med kombinationen hur troligt det är att en slumpmässig oönskad händelse som ger negativa konsekvenser för människans liv, hälsa eller miljö inträffar. -
som en upplevd risk. Med detta avses hur stor en person tror att risken är att en oönskad händelse inträffar i den betydelse av risk som personen själv väljer att lägga i ordet. Denna definition kan förklaras med att risker värderas utifrån våra egna erfarenheter, kunskaper, upplevelser och åsikter. 43
40
SWEDAC, Doc 00:8, s 2 SS-ISO/IEC 17799:2005, s viii 42 Räddningsverket, Handbok för riskanalys, 2003, s 21 43 Grimvall et. al., Risker i tekniska system, 2003, s 16 41
14
TEORETISK REFERENSRAM
Alla organisationer hanterar olika typer av risker. Vilka vardagliga risker organisationen berörs av är beroende av vilken typ av verksamhet det rör sig om. Oavsett organisations storlek kan en organisation drabbas hårt vid en utlöst risk. När en organisation analyserar risker är det viktigt att se till helheten, till samtliga risker, och inte endast till de risker som finns vid den egna processen. Dagens standarder och riktlinjer hanterar främst de risker som tillhör riskområdet operativ risk. I operativ risk ingår risker för förluster till följd av inte funktionella eller misslyckade interna processer, mänskliga fel, felaktiga system eller externa händelser. Vanligtvis indelas området operativ risk i följande delområden; interna oegentligheter, extern brottslighet, anställningsförhållanden och arbetsmiljö, affärs-förhållanden, skada på fysiska tillgångar, avbrott och störningar i verksamhet och system samt transaktionshantering och processtyrning. Informationssäkerhetsarbetet inriktas mot att minimera risken för att organisationen skall drabbas av en utlöst oönskad händelse. Varje typ av risk kan minimeras genom att organisationen arbetar med att identifiera och åtgärda de risker som återfinns inom kartläggningen och som bedöms betydelsefulla. Det kan vara svårt att beräkna och uppskatta sannolikhet och konsekvens för en oönskad händelse. Riskhantering inom informationssäkerhet ställer därför höga krav på riskkunskap och riskmedvetenhet hos informationssäkerhetsansvarig. 44 En vanlig risk inom näringslivet är att information läcker ut från organisationen. Utsatta branscher är exempelvis hälso- och sjukvården, bank och polis. Detta är organisationer som tillhandahåller känslig information om exempelvis sjukdomar, bankkoder och register. Ett känt exempel på manipulation av data som sannolikt kunnat undvikas med ett informations-säkerhetssystem är den så kallade Enronskandalen. Enron Corporation var ett av världens största el-, naturgas- och kommunikationsföretag. Företaget gick mycket bra, år 2000 hade företaget intäkter på 101 miljarder dollar. Nästföljande år genomförde Enron flera dåliga ekonomiska beslut och dränerade därmed sina egna likvida medel. Genom att Enrons koncernledning utelämnade vissa enheter kunde de istället för att redovisa den verkliga bilden istället rapportera stora vinster. Redovisningen granskades av den amerikanska tillsyns-myndigheten för börshandel. Det visade sig att Enron gjort sig skyldig till flera avancerade och välplanerade brott som exempelvis insiderhandel, kartellbildning, bokföringsbrott, korruption och mutbrott. Flera av Enrons ledande befattningshavare som kände till situationen sålde sina aktier innan granskningen genomförts. De flesta som var inblandade i härvan åtalades och dömdes. Skandalen ledde till krav på hårdare regelverk för bolagsstyrning i USA. För att bemöta de hårdare kraven på ordning och reda i det amerikanska näringslivet utarbetades ”Sarbanes-Oxley Act”, SOx, av den Amerikanska finansmyndigheten. Regel-verket ökade kraven på företagens bokföringsetik genom att reglera finansiell rapportering och intern kontroll.
3.2.3 Riskbedömning Riskhantering i näringslivet omfattar arbetet med att identifiera och värdera risker. Riskerna skall hanteras genom att ett dokumenterat ledningssystem med rutiner och tekniska säkerhets-system införs. Riskbedömning omfattar även upprättade av riskanalyser, bedömning huruvida riskerna ligger på en acceptabel nivå eller om åtgärder för att minska riskerna behöver genomföras. Arbetsgången för riskbedömning beskrivs genom figur 4. 45
44 45
Syrén, A., ss 9-13; s 27-28; s 30-36 Grimvall et. al., s 247
15
TEORETISK REFERENSRAM
Definiera systemet och identifiera riskkällor
Identifiera skadehändelser som innebär förlust av kontroll av riskkällorna
Beräkna sannolikheten för skadehändelserna
Beräkna konsekvensen för skadehändelserna
Inför åtgärder som minskar sannolikheten för att skadehändelserna inträffar och/eller åtgärder som minskar konsekvenserna av att skadehändelserna inträffar.
Beräkna och värdera risken för händelserna
Kan risken accepteras?
Nej
Ja Dokumentera analysen och följ upp systemet
Figur 4, Arbetsgången för riskbedömning. Källa: Grimvall et. al. (2003) s 248
Arbetet med att identifiera och uppskatta risker i verksamheten kallas riskanalyser. En riskanalys syftar till att upptäcka möjliga oönskade händelser innan de inträffar. Metoden underlättar för att systematiskt identifiera och värdera risker och övriga hot på ett överskådligt sätt. Eftersom risker som inte är identifierade ofta inte heller är kontrollerade är det viktigt att beakta alla tänkbara händelser, även de som inledningsvis känns mycket osannolika och av ringa betydelse. 46 Inom industrin genomförs riskanalyser vanligtvis av grupper av personer med olika erfarenheter vilka diskuterar sig fram till ett resultat. Det är sällan det utförs några omfattande beräkningar av sannolikheter och konsekvenser för de oönskade händelserna som identifierats. I speciella fall kan det finnas motiv att genomföra mer kvalitativa beräkningar av sannolikhet och konsekvens. Anledningen kan exempelvis vara krav från myndigheter eller att organisationen vill se hur olika bakomliggande faktorer inverkar på sannolikheten för större brister. 47
46 47
Räddningsverket, s 15; s 53 Grimvall et. al. ss 247-250
16
TEORETISK REFERENSRAM
Riskanalysen bör för varje identifierad oönskad händelse innehålla beräkningar eller uppskattning om hur ofta den kan tänkas inträffa samt vilka konsekvenser händelsen kan få. Analysen bör även innehålla information om eventuella osäkerheter avseende beräkning eller uppskattning. Detta kan ske genom olika beräkningsmodeller, för exempel se 3.2.4 Metoder för analys. 48 Riskanalysen utgör underlag för värdering av risker, för beslut om åtgärder, för reducering av risker och för beslut om hur stor risk organisationen är villig att ta. Resultatet av analysen ger organisationen möjlighet att ta övervägda beslut om säkerhetshöjande åtgärder och möjlighet att jämföra effekter av olika åtgärder.49 Vid riskanalyser bör organisationer använda sig av en systematisk metodik som definierar kriterier för hur en risk skall utvärderas och hur identifikation av riskhanteringskrav skall utföras. För att uppnå en tillfredsställande riskanalys förväntas organisationen att vid identifikation av risker ta hänsyn till samtliga risker. Det vill säga de risker som sannolikt kan inträffa, de som möjligen redan är identifierade och de risker som i förekommande fall är under bearbetning. Även orsaker och eventuella källor till oönskade händelser skall identifieras. Vid riskidentifiering bör organisationen utgå från frågan Vad har hänt och vad kan hända? När riskerna är identifierade skall de analyseras. Riskanalysering innebär att de identifierade riskerna värderas och graderas avseende sannolikhet och konsekvens. När riskerna har identifierats och analyserats börjar utvärderingsarbetet. Vid utvärdering fastställs riskens betydelse genom att den uppskattade risken jämförs mot en given riskbedömningsgrund. Risker som bedöms oacceptabla bearbetas med avsikt att elimineras, alternativt minskas till acceptabla nivåer. De risker som värderas som acceptabla bearbetas inte, de övervakas istället för att på nytt utvärderas i kommande riskanalyser. När riskerna är bearbetade skall effekten av genomförda beslut följas upp. Vid uppföljning bör åtgärdernas effekt avseende verkan och ekonomiska riskkostnader beaktas. 50 Det är inte hållbart att eliminera samtliga risker i en organisation eftersom det skulle betyda att samtliga riskkällor måste avlägsnas. Ofta är det ekonomiskt fördelaktigt att acceptera vissa risker. För att ges möjlighet att kontrollera och dra fördel av de risker som inte går att eliminera är det av betydelse att ledning och medarbetare lär sig att hantera riskerna på ett konstruktivt och tillfredsställande sätt. Resultatet av riskanalyserna gör ledning och medarbetare medvetna om risker och bakomliggande orsaker. Riskanalysen är därför en mycket viktig del i att skapa medvetenhet kring informationssäkerhet. En av riskanalysens viktigaste uppgifter är att fungera som ett hjälpmedel för att identifiera riskkällor och riskfyllda situationer innan de leder till olycka eller skadehändelse. Det är riskanalysen som ligger till grund för allt fortsatt informationssäkerhetsarbete. Riskanalysen anger vad organisationen skall fokusera på vid implementering av informationssäkerhetsarbetet och vid fortsatt drift och underhåll av systemet. Genom riskanalysen kan ledningen ta beslut om vilka säkerhetsinvesteringar som behöver genomföras och vilka resurser som behöver avsättas för att nå ett tillfredsställande resultat. 51
48
Räddningsverket, s 15 Grimvall et. al. s 253 50 Räddningsverket, ss 53-65; ss93-98 51 Roslund, B., 2007-08-10 49
17
TEORETISK REFERENSRAM
3.2.4 Metoder för analys Vid riskanalyser finns det främst två metodområden, kvalitativa och kvantitativa metoder. De kvalitativa metoderna baseras på egna bedömningar medan de kvantitativa metoderna baseras på tillgänglig statistik avseende hur ofta hot och oönskade händelser inträffar och vilka konsekvenserna blir. Kvalitativa metoder är att föredra vid informationssäkerhetsrisker eftersom det sker snabba förändringar i näringslivet och det kan därför vara svårt att få tag på historisk data. 52 Det finns flera olika metoder för bedömning av informationssäkerhetsrisker. Nedan beskrivs fyra olika exempel på riskanalyser med kvalitativa metoder. Riskmatris är en vanlig analysmetod som bygger på de potentiella riskkällor och de oönskade händelser som eventuellt kan inträffa. I en riskmatris rangordnas händelsernas risknivåer, se figur 5. För att skatta hur ofta den oönskade händelsen kommer att inträffa kan antingen beräkningar eller uppskattningar utföras. Genom att i matrisen sätta in gränser för hur snabbt riskerna behöver åtgärdas kan de viktigaste kategorierna tas fram. De händelser som uppehåller sig i matrisens övre högra hörn har stor sannolikhet och medför stora konsekvenser, dessa bör åtgärdas omedelbart. Vanligtvis genomförs åtgärderna i första hand i syfte att minska sannolikheten och i andra hand för att mildra konsekvenserna. Händelser som återfinns i matrisens nedre vänstra hörn är av mindre allvarlig karaktär och behöver troligtvis inte åtgärdas. Vid val av sannolikhet och konsekvens är det vanligt att antingen fakta, erfarenhet eller skattning, alternativt en kombination av dessa, ligger till grund för antagandena. 53
Figur 5, Riskmatris med åtgärdsindelning. Källa: Fritt tolkad från Grimvall et. al. (2003) s 249
Failure Mode Effect Analysis, FMEA, används främst för att systematiskt identifiera och undersöka eventuella feltillstånd hos enskilda komponenter i tekniska system och dess effekter på systemet. Metoden är huvudsakligen kvalitativ. De kritiska delarna identifieras, analyseras och åtgärdas i syfte att risken för feltillstånd reduceras. Genom att utgå från varje komponent i systemet försöker FMEA förstå mekanismerna bakom systemfelet. Målet med FMEA är att identifiera, reducera och eliminera troliga felmöjligheter. 54
52
Andersson, J.-O., Informationssäkerhetshandbok del 4. Hot och riskanalys, 2007, ss 8-9 Grimvall et. al., s 247-248 54 SIS Teknisk rapport, appendix 3 ss 1-3 53
18
TEORETISK REFERENSRAM
En analys av samspelet människa – teknik – organisation, MTO, är en metod som främst används för att analysera incidenter. När oönskade händelser sker är det nästan alltid frågan om ett samspel mellan människa, teknik och organisation. Det är därför betydelsefullt att analysera relationerna mellan dessa koncept. MTO består av fyra avsnitt: händelseförlopp, orsaks-analys, avvikelseanalys och barriäranalys. Vid analys av händelseförloppet delas processen upp i olika delhändelser där interaktionen mellan människan och tekniken inte fungerat på önskvärt sätt. Vid orsaksanalys undersöks delhändelsernas bakomliggande orsaker utifrån teknisk, organisatorisk och psykologisk fackkunskap. Avvikelseanalys syftar till att identifiera avvikande omständigheter vid tidpunkten för aktuell händelse. En analys av systemets barriärer undersöker slutligen de skyddsbarriärer som finns i systemet vid tidpunkten för den aktuella händelsen. 55 Technique for human error rate prediction, THERP, är en vanlig analysteknik för att numeriskt uppskatta människans grad av tillförlitlighet i olika typer av arbetsuppgifter. Grundkonstruktionen för THERP är att analysera mänsklig funktionssannolikhet och att operatörens handlingar anses lika betydelsefulla som funktionen hos ett tekniskt system. Tillförlitligheten hos en medarbetare skall därför bedömas på samma sätt som ett tekniskt system med undantag att större variation än i traditionella produktionsanalyser tillåts. Detta till följd av att mänsklig prestationsförmåga skiljer sig från teknisk prestationsförmåga. I THERP analysen utförs en beskrivning av både analysobjekt och tillhörande verksamhet. Beskrivningen omfattar målsättningar, funktionssätt samt vilken utrustning och arbetsmoment som ingår. Arbetsuppgifterna bryts ner till mindre deluppgifter där möjliga eller troliga operatörsfel identifieras. Till varje deluppgift konstrueras ett händelseträd där varje förgrening representerar korrekt respektive felaktigt beteende. Sannolikheter och effekter av olika prestationspåverkande faktorer uppskattas. Resultatet från analysen kan användas som ingångsvärden i andra analysmodeller. 56 Action Error Analysis, AEA, är en kvalitativ metod för att kartlägga och identifiera mänskligt felhandlande vid utförande av olika procedurer, kopplat till de informationssäkerhetsrisker som finns i organisationens system. Detta sker genom att konsekvenser till tänkbara scenarier beskrivs och förslag till förbättringar och åtgärder för att minimera riskerna utvecklas. Vid AEA upprättas en lista över aktuella risker där varje risk analyseras genom att ett ledord kombineras med en aktivitet. Exempel på ledord vid aktivitetsgranskning är: - ingen handling, det vill säga vad händer om aktiviteten inte utförs eller hoppas över? - rätt objekt men fel handling, närmare bestämt vilka felhandlingar kan utföras och vad kan hända? - rätt handling men fel objekt, kan en operatör exempelvis välja att stänga av fel brandvägg? - för tidigt respektive för sent, vilket betyder att det finns möjlighet att aktiviteten kan utföras för tidigt eller för sent - fel sekvens, följaktligen vad händer om aktiviteterna utförs i en annan sekvens än den avsedda? 57
55
Räddningsverket, s 86-87 Reason. J., Human Error, 1990, ss 221-224 57 Räddningsverket, s 86 56
19
TEORETISK REFERENSRAM
3.2.5 Kontinuitetsplanering Kontinuitetsplanering uppvisar organisationens förmåga och beredskap att hantera avbrott i verksamheten och utgör en av de prioriterade uppgifterna för säkerhetsfunktionen. Syftet är att störningar i organisationens verksamhet skall motverkas, kritiska processer skall skyddas från effekterna av allvarliga fel i systemen, skador som förorsakas av ett avbrott skall minskas och återstart skall säkerställas inom rimlig tid. Genom planering för oönskade avbrott och störningar kan organisationen förhindra att dess verksamhet allvarligt störs vid en oönskad händelse. Kontinuitetsplanen avser planering för att starta upp och upprätthålla verksamheten oavsett om organisationen drabbats av en eller flera oönskade händelser. Kontinuitetsplanen skall hjälpa organisationen att överleva en eventuell akut kris, underlätta att upprätthålla verksamheten medan krisen hanteras och fungera som ett stöd för ledningen under den tid organisationen återuppbygger sin ordinarie verksamhet. 58
3.2.6 Utarbetande av säker informationshantering Vid utarbetande av säker informationshantering är det viktigt att organisationen fastställer sina säkerhetskrav med hänsyn tagen till strategier och mål. Genom att integrera organisationens informationssäkerhetsarbete och utgå från identifierade risker kan arbetet ingå som en naturlig del i organisationens övergripande riskhantering. Redovisar organisationen säkerhetsinvesteringar i ekonomiska termer kan verksamheten överskådligt jämföra behov gentemot kostnaden för investeringar. För att uppnå en säker hantering av information bör organisationen använda ett strukturerat angreppssätt som tar hänsyn till organisationens egna specifika krav på säkerhet. Figur 6 visar en schematisk bild över uppläggningen av informationssäkerhetsarbetet. 59
Ta fram en informationssäkerhetspolicy
Kartlägg riskerna genom en riskanalys
Sätt samman en säkerhetsorganisation
Inför säkerhetsarbetet med hjälp av ISO 27001
Utbilda medarbetare
Uppföljning
Figur 6, Förenklad bild över implementering av informationssäkerhetsarbete. Källa: Fritt tolkad från SIS Broschyr (1999) s 7
58 59
SIS Teknisk rapport, kapitel 14 ss 1-2 Syrén, A., ss 7-8
20
TEORETISK REFERENSRAM
Allt informationssäkerhetsarbete bör inledas med en analys av organisationens verksamhet. Denna analys ligger till grund för utarbetande och fastställande av en informations-säkerhetspolicy med tillhörande riktlinjer. Policyn skall värdera organisationens information samt vara väl förankrad i ledningen innan den sprids och förankras inom den egna organisationen. Vid behov kan organisationen utarbeta en säkerhetsorganisation. Det vill säga en specialistrådgivning i säkerhetsfrågor vilken är beroende av verksamhetens storlek, vilken verksamhet som bedrivs samt vilken hotbild som finns. Säkerhetsorganisationens uppgift är bland annat att godkänna riktlinjer, fördela arbetsuppgifter, ansvar och koordinera införandet av säkerhetsåtgärder. 60 I en riskanalys bör organisationen identifiera existerande hot mot tillgångar där sannolikhet för att hoten realiseras värderas och tänkbara effekter uppskattas. I riskanalysen identifieras sannolikheten för att hot mot verksamheten kan uppstå. Riskanalysen bör följas upp med en konsekvensanalys där det bedöms vilken konsekvens som kan uppstå om ett identifierat och befarat hot inträffar. Genom riskanalysen ges organisationen möjlighet att upptäcka sina svaga punkter samt identifiera förbättringspotentialer. Det är viktigt att riskanalysen uppdateras kontinuerligt, förslagsvis när hotbilden ändras. Riskanalysen ger organisationen möjlighet att behandla upptäckta brister så att de minskas och kommer ned på en acceptabel nivå. Denna nivå sätts av organisationen beroende på hur värdefull informationen är för verksamheten. 61 Det bör råda en balans mellan kostnaderna för säkerheten, värdet av de tillgångar som skall skyddas och konsekvenserna av ett misslyckande. Riskbedömningen underlättar även för organisationen vid fastställandet av vilka kontroller som behövs samt i vilken ordning de bör introduceras och implementeras. Säkerhetsarbetet införs sedan enligt ISO 27001. Vid införandet är det viktigt att medarbetarna får korrekt vägledning samt att det finns uppdaterade befattningsbeskrivningar med eventuella individuella riktlinjer. 62 Vid införandet bör ansvaret för informationssäkerheten först förankras i ledningen för att därefter spridas till medarbetarna. Rutiner för hantering av säkerhetsincidenter bör införas. En kontinuitetsplan kan med fördel utarbetas för att säkerställa att verksamheten kan upprätthållas även efter en allvarlig störning som exempelvis stöld av utrustning. 63 För att säkerställa att samtliga medarbetare har erforderlig kunskapsnivå avseende informations-säkerhet bör det tas fram en utbildningsplan. Organisationen skall även säkerställa att samtliga användare har kunskap om hur verksamhetens tekniska system fungerar. Det är betydelsefullt att organisationen säkerställer att informationssäkerhetsarbetet efterlevs på ett tillfredsställande sätt. Detta sker genom kontinuerliga uppföljningar mot säkerhetspolicy, ledningssystem, regler och övriga normer. 64
3.2.7 Målsättning av informationssäkerhetsarbete För att säkerställa kontinuitet av verksamheten är det nödvändigt att organisationen har kontroll över sina informationstillgångar. Vid målsättning av informationssäkerhetsarbete är det viktigt att informationssäkerhetspolicyn är antagen av ledningen samt kommunicerad och förstådd av samtliga medarbetare. Det skall även finnas instruktioner, anvisningar och riktlinjer för informationssäkerhetsarbetet i organisationen, även dessa dokument skall vara kommunicerade till medarbetarna. Organisationen skall en gång per år ta fram en över-gripande hotbildsanalys som delges samtliga medarbetare. 65
60
SS-ISO/IEC 17799:2005, ss 7-10 Syrén, A., ss 9-12 62 SIS Broschyr, s 7 63 SWEDAC, Doc 00:8, ss 2-3 64 SIS Broschyr, s 7 65 Syrén, A., ss 148-149 61
21
TEORETISK REFERENSRAM
Risk- och konsekvensanalyser skall genomföras på samtliga verksamhetskritiska processer och det skall finnas uppdaterade och genomförda kontinuitetsplaner som övas minst en gång per år. Organisationen skall även säkerställa att samtliga medarbetare erhåller utbildning i informationssäkerhet. Slutligen är det viktigt att organisationen har en fungerande och etablerad incidentdatabas där samtliga risker som ingår i operativ risk registreras, utvärderas och analyseras. All information som behandlar säkerhet kan med fördel samlas på ett ställe. Har organisationen tillgång till intranät kan informationen med fördel kommuniceras via detta nät till medarbetarna. 66
3.2.8 Utbildning av medarbetare Motiverade medarbetare är i allmänhet lojala och pålitliga och orsakar färre informationssäkerhetsincidenter än missnöjda medarbetare. Organisationer bör därför aktivt arbeta för en tillfredsställande psykosocial arbetsmiljö. Medarbetare och i de fall det bedöms relevant, leverantörer och utomstående användare bör upplysas om sitt säkerhetsansvar och utbildas inom informationssäkerhet. Medarbetarna bör även regelbundet uppdateras avseende organisationens policy och de rutiner som är relevanta för deras arbetsuppgifter. 67 Utbildning av organisationens medarbetare skall genomföras som en strategisk del av informations-säkerhetsarbetet. Eftersom det är viktigt att samtliga medarbetare får fortlöpande information avseende informationssäkerhetsarbetet bör utbildning genomföras på ett systematiskt kontinuerligt sätt, innan en eventuell oönskad händelse har inträffat. Utbildningens omfattning är beroende av den riskprofil och det ansvar och befogenheter som berör anställningen. Utbildningen bör följas upp minst en gång per år där även en omvärldsanalys och resultat av genomförda riskanalyser inom området presenteras. 68
3.2.9 Ständiga förbättringar inom informationssäkerhetsarbetet Ständiga förbättringar inom informationssäkerhetsarbetet avser en återkommande process, där ledning och styrelse kan utvärdera om genomförda insatser har lett till förbättringar inom organisationen. Operativ risk kan utgöra grunden till förbättringsarbetet och genom att ständigt minska risken för att drabbas av en operativ risk kan organisationen mäta och utvärdera informationssäkerheten. Utvärderingen bör ske med utgångspunkt från verksamhetens behov av skyddsnivå. Vid mätning av informationssäkerhetsarbetets effektivitet kan en incidentdatabas användas. I basen kan orsaker till inträffade incidenter identifieras och analyseras samtidigt som en utvärdering och analys kan genomföras av varje inträffad incident. Ledningen kan säkerställa att informationssäkerhetsarbetet är effektivt genom en lönsamhetskalkyl. Kalkylen kan kopplas till incidentdatabasens statistik för att utvärdera säkerhetsinvesteringarnas effektivitet. Identifikation och lösningar av möjliga säkerhetsproblem är ledning, styrelse och verksamhetsansvarigas ansvar. Eftersom medarbetarna är organisationens främsta tillgång är det viktigt att informationssäkerhetsarbetet utgår från medarbetarnas behov av lösningar. För att ständiga förbättringar skall fungera tillfredsställande är det nödvändigt att ledning och medarbetare involveras och blir aktiva i informationssäkerhetsarbetet. 69
66
Syrén, A., ss 148-149 SS-ISO/IEC 17799:2005, s 26 68 SIS Teknisk rapport, kapitel 8 s 2 69 Syrén, A., ss 156-159 67
22
TEORETISK REFERENSRAM
3.3 ISO 27001:2006 Ledningssystem för informationssäkerhet Ett Ledningssystem för informationssäkerhet70, ger organisationen möjlighet att fokusera på säkerhetsarbetet, förebygga säkerhetsrisker och minska eventuella skador. Genom att arbeta efter LIS kan organisationer säkerställa hur informationssäkerheten följer kritiska områden samt vad som behöver förbättras. 71 Certifiering av LIS sker mot den internationella standarden ISO 27001. Standarden företräder ett affärsmässigt synsätt för att leda informationssäkerhetsarbetet inom organisationer samtidigt som den specificerar hur alla verksamheter kan bygga upp och integrera LIS i organisationen. 72 Standarden tillämpas företrädesvis av organisationer som hanterar stora mängder känslig och värdefull information vilka har behov av att skydda informationstillgångar samtidigt som de måste säkerställa en verksamhet i kontinuitet med både marknadens och myndigheternas förtroende. Ett certifikat enligt ISO 27001 visar att LIS har uppnått kraven enligt standard och att organisationen har vidtagit nödvändiga åtgärder för att skydda känslig information för obehöriga. 73 ISO 27001 består av två delar där den första delen ger rekommendationer och riktlinjer medan del två används vid certifieringar och ställer krav på LIS. I Sverige är det SWEDAC som är ansvarig för den svenska certifieringsordningen. 74 Vid införandet av LIS är det viktigt att organisationen fastställer sina säkerhetskrav och bedömer sina säkerhetsrisker. Säkerhetskraven bestäms genom en systematisk bedömning av organisationens säkerhetsrisker. Riskbedömningen används som vägledning för beslut om lämpliga åtgärder och prioriteringar för hantering av informationssäkerhetsrisker. Kostnad för åtgärder skall värderas mot de skador som kan bli resultatet om säkerheten brister. När beslut har tagits för att hantera de identifierade riskerna bör åtgärder för att reducera riskerna till en acceptabel nivå väljas och introduceras. Vid införandet av informationssäkerhet bör åtgärderna prioriteras beroende på kriterier för riskacceptans, möjligheter till riskbehandling och organisationens metod för riskhantering samt rättsliga krav och övrig praxis för informationssäkerhet. Riktlinjerna i ISO 27001 bör beaktas som ett underlag för att förbättra organisationsspecifika riktlinjer. 75
3.3.1 Orientering ISO 27001 följer övriga internationella ISO standarder och är utformad för samordning, alternativt integrering med besläktade ledningssystem. LIS är utformad som en modell och har ett processorienterat angreppssätt för att upprätta, införa, driva, övervaka, granska, underhålla och förbättra informationssäkerheten. Utformning, omfattning och införande av LIS bör anpassas till organisationens behov, storlek, struktur, säkerhetskrav och mål. För att strukturera processer enligt LIS används PDCA-modellen, Plan-Do-Check-Act, ett lednings-verktyg för förändrings- och förbättringsarbete. Fritt översatt till svenska blir beteckningen Planera, Genomföra, Följa upp och Förbättra, se figur 7. 76
70
Fortsättningsvis kallad LIS Roslund, B., 2007-08-10 72 SIS Teknisk rapport, förord 73 SWEDAC, URL 2 74 SWEDAC, Doc 00:8, s 3 75 SS-ISO/IEC 17799:2005, ss ix-xi 76 SS-ISO/IEC 27001:2006, Ledningssystem för informationssäkerhet – krav, 2006, ss v-vi 71
23
TEORETISK REFERENSRAM
Figur 7, Åskådliggör processernas inbördes förhållanden samt hur LIS systematiskt styr organisationen med utgångspunkt från kraven på verksamheten. Källa: SIS Teknisk rapport (2004) s 9
I PDCA-modellen avser Planera hur LIS upprättas för att ge resultat i linje med organisationens övergripande policy och mål. Organisationen utarbetar policy, mål, processer och rutiner som är betydelsefulla för riskhantering och utveckling av informationssäkerhet. Genomföra avser att implementera och driva ledningssystemets policy, åtgärder, processer och rutiner. I begreppet Följa upp ingår övervakning och granskning av ledningssystemet. Där det är relevant mäts processens prestanda mot policy, mål och praktiskt erfarenhet. Resultaten granskas av ledningen. Förbättra inkluderar underhåll och förbättring av lednings-systemet. För att ständigt förbättra systemet skall organisationen vidta korrigerande och förebyggande åtgärder baserade på resultaten av interna revisioner och ledningens genomgång. 77
3.3.2 Omfattning ISO 27001 anger krav för att upprätta, införa, driva, övervaka, granska, underhålla och förbättra ett dokumenterat LIS inom ramen för organisationens totala verksamhetsrisker. Kraven i ISO 27001 berör alla typer av organisationer och är avsedda att kunna tillämpas oavsett bransch, storlek och verksamhet. Uteslutning av eventuella krav måste motiveras och det måste styrkas att tillhörande risker saknar betydelse för informationssäkerhetsarbetet. 78
3.3.3 Ledningssystem för informationssäkerhet För att säkerställa kontinuitet av verksamheten är det nödvändigt att organisationen har kontroll över sina informationstillgångar. 79 Inom ramen för organisationens totala verksamhet och de risker organisationen utsätts för skall ett dokumenterat LIS upprättas, införas, drivas, övervakas, granskas och förbättras. Ledningens beslut skall framgå av dokumentationen och det skall säkerställas att åtgärder är spårbara till ledningens beslut och policy. 80
77
SS-ISO/IEC 27001:2006, s vi SS-ISO/IEC 27001:2006, s 1 79 SIS Teknisk rapport, kapitel 4 s 1 80 SS-ISO/IEC 27001:2006, ss 3-7 78
24
TEORETISK REFERENSRAM
För att visa sitt engagemang och stöd för informationssäkerhetsarbetet skall ledningen fastställa en informationssäkerhetspolicy. Informationssäkerhetspolicyn är ledningens instrument för att ange informationssäkerhetsarbetets riktning i enlighet med verksamhetens mål, krav och relevanta lagar och föreskrifter. Genom sitt dokumenterade LIS skall organisationen även säkerställa att dokumenterade resultat är reproducerbara. Dokumentationen skall visa att sambandet mellan valda åtgärder kan kopplas till resultaten av riskbedömning och riskhantering och sedan vidare till policy och mål. 81
3.3.4 Ledningens ansvar Ledningen skall bestyrka sitt ansvar avseende upprättande, införande, drift, övervakning, granskning och förbättring av LIS. För att säkerställa resurshanteringen skall organisationen kartlägga behovet av resurser och även tillhandahålla dessa. Organisationen skall även säkerställa att medarbetare som tilldelats ansvar definierat i LIS är kompetenta att utföra avsedda arbetsuppgifter. 82
3.3.5 Interna revisioner Genom planerade interna revisioner av LIS skall organisationen säkerställa att mål, åtgärder, processer och rutiner motsvarar förväntningarna. Organisationen skall utarbeta ett revisionsprogram där kriterier, omfattning, frekvens och metoder för revision definieras. Planeringen skall ta hänsyn till betydelsen hos de processer och områden som skall revideras och resultat av tidigare revisioner. Vid val av revisor skall objektivitet och opartiskhet i revisions-processen säkerställas. I LIS skall det finnas en rutinbeskrivning där rutinansvarig, krav på planering, genomförande av revisioner, rapportering av resultat och bevarande av dokument framgår. Efter revisionen är det ledningen för den reviderade verksamheten som skall säkerställa att åtgärder för att eliminera upptäckta avvikelser och deras orsaker genomförs. 83
3.3.6 Ledningens genomgång av LIS För att säkerställa LIS fortlöpande lämplighet, tillräcklighet och verkan skall ledningen granska systemet med planerade intervall. Vid granskningen skall ledningen behandla bedömning av LIS möjligheter till förbättring och eventuella behov av ändringar. Resultatet skall dokumenteras och bevaras. 84
3.3.7 Förbättring av LIS Organisationen skall arbeta för att ständigt förbättra effekten hos LIS. Ständig förbättring sker med hjälp av policy, mål, revisionsresultat, analys av övervakade händelser, korrigerande och förebyggande åtgärder samt ledningens genomgång. För att eliminera orsaker till avvikelser från krav i LIS med avsikt att förhindra upprepning och uppkomst skall organisationen vidta nödvändiga åtgärder. Förebyggande åtgärder skall stå i proportion till konsekvenser av möjliga problem. 85
81
SS-ISO/IEC 27001:2006, ss 3-7 SS-ISO/IEC 27001:2006, s 9 83 SS-ISO/IEC 27001:2006, s 10 84 SS-ISO/IEC 27001:2006, s 10-11 85 SS-ISO/IEC 27001:2006, ss 11-12 82
25
TEORETISK REFERENSRAM
3.4 SWEDAC För att certifieringsorgan skall upplevas som trovärdiga kompetensbedöms de av ett ackrediteringsorgan. Ackrediteringsorganet granskar att certifieringsorganet arbetar på ett kompetent och oberoende sätt. I Sverige är det SWEDAC, Styrelsen för ackreditering och teknisk kontroll, som utför ackreditering av certifieringsorgan. SWEDAC är en statlig myndighet med huvudsaklig uppgift att vara ett internationellt accepterat ackrediteringsorgan. SWEDAC är till 25 % en myndighetsutövande verksamhet och till 75 % en uppdragsbaserad verksamhet som tar betalt för sina uppdrag. SWEDAC deltar i internationellt arbete avseende frågor om teknisk kontroll, utarbetande av nya standarder och uppbyggnaden av ackrediteringsverksamhet i andra länder. Syftet med det internationella arbetet är att uppnå enhetliga och öppna ackrediteringssystem som garanterar tillförlitlig provning, certifiering och kontroll. SWEDAC ackrediterar verksamheter inom privat- och offentlig sektor, både i Sverige och i andra länder. SWEDAC utvecklas kontinuerligt eftersom det ständigt tillkommer nya områden där krav upprättas på hur ackrediterade organisationer skall utföra bedömningar. SWEDAC har fram till juni 2007 ackrediterat över 500 laboratorier, omkring 30 certifieringsorgan och drygt 2 000 kontrollorgan. 86
3.4.1 SWEDACs ackrediteringsmärke SWEDACs ackrediteringsmärke innehåller de tre kronorna från Sveriges riksvapen och får endast användas av ackrediterade verksamheter. Märket skall användas tillsammans med det ackrediterade organets namn, logotyp och med uppgift om ackrediteringsnumret samt mot vilken standard bedömningen skett, se figur 8. 87
Figur 8, SWEDACs Ackrediteringsmärke. De fyra övre siffrorna anger verksamhetens ackrediteringsnummer, raden under anger aktuell standard.
3.5 Ackreditering av certifieringsorgan Ackreditering är en kompetens- och kvalitetsbedömning enligt internationella och europiska standarder vilken genomförs på laboratorier, certifieringsorgan samt kontroll- och besiktningsorgan. Ackreditering av certifieringsorgan innebär att SWEDAC kontinuerlig prövar att certifieringsorganet besitter tillfredställande kompetens att utföra certifieringar, analyser och kontroll av ledningssystem. En ackreditering innebär att certifieringsorganen arbetar metodiskt och att uppdragen utförs opartiskt och korrekt. Ackrediteringen minskar risken för fel vilket leder till ordning och reda i organisationen, något som innebär trygghet för kunder och bidrar till en ökad konkurrenskraft för organisationen. Eftersom ackrediteringen grundas på internationellt erkända standarder kan en ackrediterad verksamhet bevisa sin kompetens såväl i Sverige som internationellt. 88 86
Pedersen, M., 2007-06-28 SWEDAC, URL 1 88 SWEDAC Doc 97:5, Information om ackreditering för certifiering, 1997, s 1 87
26
TEORETISK REFERENSRAM
Rapporter, certifikat och andra bevis underlättar därför handel över gränser genom att ge en försäkran på att resultaten inte behöver omprövas i andra länder. 89 Värdet på det utfärdade certifikatet är beroende av certifieringsorganens kompetens och trovärdighet. Genom ackreditering och kontinuerliga kontroller säkerställer SWEDAC att certifieringsorganen innehar och bibehåller hög kompetens och trovärdighet. Samtliga certifieringsorgan som är ackrediterade erhåller SWEDACs ackrediteringsmärke, se avsnitt 3.4.1 SWEDACs ackrediteringsmärke. 90 Certifieringsorgan som ackrediteras att utföra certifieringar av ledningssystem för informationssäkerhet skall följa SWEDACs föreskrift STAF 2007:13 samt standarder ISO 17021 och ISO 27006. Standarderna beskriver de formella kraven på certifieringsorganen och hur certifieringsprocessen ska genomföras. Kraven är inte heltäckande utan ger certifierings-organen möjlighet att utveckla och anpassa rutiner utifrån sina egna och kundernas behov. 91
3.5.1 Ackrediteringsprocessen Ackreditering bygger på områdena kompetens, oberoende, kvalitetssäkring, långsiktighet och internationell acceptans. Ackrediteringsprocessen kan beskrivas enligt figur 9. Bedömning av certifieringsorgan genomförs mot de krav som ställs i SWEDACs föreskrifter och standarder. Vid bedömning av certifieringsorgan som ansökt om ackreditering ligger tyngdpunkten i bedömningen att granska hur verksamheten bedrivs i praktiken samtidigt som det även genomförs en granskning av de beskrivande dokument som ingår i ledningssystemet. 92
Bedömning i praktiken
Dialog
Ansökan
Bedömning på plats hos certifieringsorgan
Rapportering
Dokumentgranskning
Korrigerande åtgärder
Slutlig rapport med rekommendation om ackreditering
Beslut
Tillsyn – förnyad bedömning
Eventuella ändringar och utökningar
Figur 9, Ackrediteringsprocessens steg. Källa: Fritt tolkad från PowerPoint SWEDAC, 2007
89
SWEDAC Doc 01:6, Vårt märke är ganska litet, men det ger ett stort mått av trygghet, 2001, s 4 SWEDAC Doc 97:5, Information om ackreditering för certifiering, 1997, s 1 91 SWEDAC, URL 2 92 Pedersen, M., 2007-06-28 90
27
TEORETISK REFERENSRAM
Ackrediteringsprocessen startar med en dialog mellan sökande certifieringsorgan och SWEDAC där information inför ett omfattande och långsiktigt åtagande ges. Nästa steg i processen är att det sökande certifieringsorganet skickar en ansökan om ackreditering. Ansökan sker på ett särskilt formulär vilket skickas till SWEDAC tillsammans med övriga efterfrågade dokument. När SWEDAC mottagit ansökan bekräftas den, därefter bedömer SWEDAC om insända handlingar är kompletta, uppskattar arbetets omfattning och offererar ett pris. Offerten innehåller förslag på bedömningsledare och team samt en grovplanering av uppdraget. Det sökande certifieringsorganet tar därefter ställning till om de accepterar offerten och övriga förslag. Certifieringsorganet skall skriftligen delge SWEDAC att offerten godtas. Därefter planerar SWEDAC uppdragets genomförande i samråd med sökande certifieringsorgan. 93 SWEDAC inleder med en dokumentgranskning av ledningssystemet och övriga relevanta dokument. Granskningen genomförs för att säkerställa att certifieringsorganet har erforderliga teoretiska och organisatoriska förutsättningar att uppfylla aktuella krav. Om brister kan konstateras informeras organisationen om vad som behöver åtgärdas. 94 Efter eller i samband med dokumentgranskning genomförs en bedömning på plats. Vid de tillfällen dokument-granskningen utförs innan bedömningen på plats, genomförs en separat rapportering där certifieringsorganet ges möjlighet att korrigera avvikelser innan bedömningen på plats sker. Bedömningen genomförs av bedömningsledare tillsammans med ytterligare en eller flera bedömare. Granskningen omfattar praktiskt arbete, dokumentation och administrativa rutiner. Detta görs i syfte att säkerställa hur certifieringsorganet tillämpar sitt ledningssystem och om kravspecifikationerna tolkas och används på rätt sätt i den dagliga verksamheten. Dessutom kontrolleras ledning och medarbetares kompetens. Ett certifieringsorgans viktigaste arbete sker ute hos certifieringsorganets kund i samband med revisioner och granskningar. SWEDAC följer därför med som observatör för att övervaka hur verksamheten bedrivs i praktiken. Syftet är att bedöma certifieringsorganets skicklighet att omsätta krav och rutiner i praktiskt revisionsarbete samt att bedöma medarbetarnas kompetens. 95 Bedömningen avslutas med en rapportering till certifieringsorganet. Vid ett avslutande möte mellan SWEDAC och certifieringsorganets ledning redogör bedömningsledaren SWEDACs syn på verksamheten. Bedömningsledaren beskriver eventuella avvikelser från krav. I samband med mötet mottar certifieringsorganet en bedömningsrapport vilken ger en allmän beskrivning av deras nyckelområden samt starka och svaga sidor. Rapporten är vanligtvis ett elektroniskt dokument som utöver den allmänna beskrivningen även innehåller beskrivande detaljrapporter över eventuella avvikelser från krav. En detaljrapport skall innehålla uppgift om avvikelsens art och vilket krav den hänförs till. För att uppnå en tillfredsställande effekt bör certifieringsorganet analysera orsak till problemet innan korrigerande åtgärder vidtas. Eventuella korrigerande åtgärder skickas till bedömningsledaren som diskuterar resultatet tillsammans med övriga granskare som deltog vid bedömningen. Därefter tar bedömningsledaren ställning till om åtgärderna kan accepteras och rekommenderar i förekommande fall beslut om ackreditering. Har certifieringsorganet allvarliga eller omfattande brister kan ett återbesök från SWEDAC bli aktuellt. Med hänsyn därtill sammanställer bedömningsledaren underlaget till beslutstext och delger ansvarig chef på SWEDAC som efter granskning av underlaget tar beslut om ackreditering. 96
93
Pedersen, M., 2007-06-28 SWEDAC Doc 97:5, s 2 95 Pedersen, M., 2007-06-28 96 SWEDAC Doc 07:10, Ackrediteringsprocessen – så går ackrediteringen till, 2007, ss 2-3 94
28
TEORETISK REFERENSRAM
Ackreditering kan först ges när alla krav är uppfyllda. Fastställande av ackreditering fattas av SWEDACs generaldirektör eller chefen för den tekniska avdelningen. Beslutet skickas till företaget tillsammans med ett ackrediteringsbevis. Ackrediteringen är inte tidsbegränsad utan gäller fortlöpande under förutsättning att kraven för det aktuella ackrediteringsområdet uppfyllts. 97 SWEDAC följer upp ackrediteringsbeslut genom regelbundna tillsynsbesök vilka oftast sker en gång per år. Tillsynsbesöket är oftast mindre omfattande än det första besöket och ger SWEDAC möjlighet att bedöma om det ackrediterade certifieringsorganet fortlöpande uppfyller ställda krav. Vid dessa besök genomförs tillsynen genom ett urval av paragraferna i ISO 17021. Även vid dessa tillsynsbesök följer SWEDAC med certifieringsorganet för att granska arbetet på plats hos kund. Underlaget redovisas i en rapport, korrigerande åtgärder skall genomföras och rapporteras till SWEDAC inom två månader. Vart fjärde år genomförs en förnyad bedömning, det vill säga en heltäckande utvärdering liknande den vid förstagångsackreditering och omfattar samtliga paragrafer i ISO 17021. 98 Anhåller en organisation som redan är ackrediterat för ett område att söka ackreditering för ytterligare ett område eller standard skall en ansökan genomföras på samma sätt som vid en förstgångsackreditering. Eftersom SWEDAC redan känner till kunden, deras övergripande ledningssystem och deras sätt att arbeta blir ansökan i praktiken enklare vid ändring eller utökning. Vill ett ackrediterat företag få sin ackreditering upphävd skall en skriftlig uppsägning skickas till SWEDAC som då återkallar ackrediteringen. SWEDAC kan även återkalla ackrediteringen, alternativt begränsa dess omfattning om det visar sig att certifieringsorganet inte uppfyller eller åtgärdar brister som konstateras vid tillsynsbesök. 99
3.6 ISO 17021:2006, Krav på organisationer som tillhandahåller revision och certifieringar av ledningssystem ISO 17021 är en generell standard för alla typer av ledningssystem och anger de kriterium som gäller för certifieringsorgan som genomför revisioner och certifiering av ledningssystem. Certifiering av ledningssystem säkerställer att organisationen har implementerat ett system för att leda och styra relevanta aspekter av verksamhetens aktiviteter. ISO 17021 specificerar de krav certifieringsorgan skall uppnå för att erhålla ackreditering enligt önskat område. Vid ackreditering inom informationssäkerhet kan ISO 17021 ses som ett komplement till ISO 27006, se avsnitt 3.7. Efterlevnad av dessa krav avser att säkerställa att certifieringsorgan reviderar ledningssystem på ett kvalificerat, konsekvent och opartiskt sätt. Därigenom underlättas erkännandet av certifieringsorgan och acceptansen av deras certifikat på både en nationell och internationell basis. Standarden fungerar som en grund för att förenkla erkännande av certifiering av ledningssystem som en internationell handel. Standarden beskriver de grundläggande reglerna av hur en trovärdig certifiering är baserad. 100
3.6.1 Omfattning ISO 17021 anger principer och krav på kompetens, överensstämmelse och opartiskhet för certifieringsorgan som tillhandahåller revisioner och certifiering av samtliga kategorier av ledningssystem. Certifiering av ett ledningssystem är en tredjeparts bedömning. 101
97
SWEDAC Doc 07:10, ss 2-3 Pedersen, M., 2007-06-28 99 SWEDAC Doc 97:5, s 4 100 ISO/IEC 17021:2006, Conformity assessment – Requirements for bodies providing audit and certifications of management systems, 2006, ss v-1 101 ISO/IEC 17021:2006, s 1 98
29
TEORETISK REFERENSRAM
3.6.2 Principer Avsnittet ger handledning över hur certifieringsorganet skall säkerställa opartiskhet, kompetens och ansvar, öppenhet, förtroende samt bemötande av klagomål. Dessa grund-läggande principer skall ses som vägledning vid beslut för oförutsedda situationer. 102
3.6.3 Allmänna krav I detta avsnitt innefattas de områden som säkerställer att certifieringsorganet följer lag- och kontraktsärenden, att organisationen säkerställer att ledningen är opartisk, ansvarsskyldig och sköter finansiering på ett tillfredsställande sätt. 103
3.6.4 Strukturella krav Certifieringsorganet skall följa de strukturella krav på organisationen som krävs i detta avsnitt. Avsnittet redogör för de krav som finns på ledningen avseende identifikation av befogenheter och ansvar samt att det upprättas en särskild organisation för säkerställandet av bland annat opartiskhet och nyckeltal. 104
3.6.5 Resurskrav I detta avsnitt redogörs för de fastställda krav som finns avseende resurser. Det ställs krav på ledningens och medarbetarnas kompetens samt på de medarbetare som arbetar som revisorer, revisionsledare och tekniska experter, både internt och externt. Dessutom säkerställer avsnittet hur certifieringsorganet skall registrera medarbetarnas kompetensnivå, utbildning och erfarenheter. Avsnittet redogör även för de krav som finns uppställda för de tillfällen ett annat certifieringsorgan tar över delar av certifieringsprocessen. 105
3.6.6 Informationskrav Standarden fastställer även krav på informationshantering. Avsnittet redogör för kraven på certifieringsorganets allmänna tillgängliga information, hantering av certifikatsdokument, förteckning över certifierade kunder samt referensram till certifikat. Dessutom omfattar avsnittet de krav som finns för konfidentiellitet och för informationsutbyte mellan certifieringsorgan och deras kunder. 106
3.6.7 Processkrav Avsnittet beskriver allmänna krav på hur ackrediteringsprocessen och dess utförande går till samt på hur certifieringsorganet upprätthåller ackrediteringen. Avsnittet redogör för de krav som finns avseende förstagångsrevision och certifiering, ansökan, prövning av ansökan samt uppföljningsaktiviteter och uppföljningsrevisioner. Dessutom anges vilka krav som gäller vid specialrevisioner och vid indragning, återkallning eller inskränkning på certifieringens omfattning. Därtill specificeras krav på hur certifieringsorganet har dokumenterat processen för att ta emot, utvärdera och ta beslut på överklaganden och klagomål. Avsnittet redogör även för krav avseende certifieringsorganets ansöknings- och kundregister. 107
102
ISO/IEC 17021:2006, ss 2-4 ISO/IEC 17021:2006, ss 4-6 104 ISO/IEC 17021:2006, ss 6-7 105 ISO/IEC 17021:2006, ss 7-9 106 ISO/IEC 17021:2006, ss 9-13 107 ISO/IEC 17021:2006, ss 13-22 103
30
TEORETISK REFERENSRAM
3.6.8 Krav på ledningssystem för certifieringsorgan Denna klausul anger att certifieringsorganet kan välja mellan två options. I options 1 kan certifieringsorganet välja att implementera ett ledningssystem enligt ISO 9001. Väljer istället certifieringsorganet option 2 kan de implementera ett alternativt ledningssystem. Detta ledningssystem måste följa de krav på omfattning, kundfokus, ledningens genomgång samt design och utveckling som specificeras i klausulen. 108
3.7 ISO 27006:2007, Krav på organisationer som tillhandahåller revision och certifieringar av ledningssystem för informations-säkerhet ISO 27006 anger de kriterier och krav certifieringsorgan som redan är ackrediterade måste följa för att få revidera och certifiera LIS enligt ISO 27001. ISO 27006 är ett komplement till och följer strukturen i ISO 17021. Den främsta avsikten med ISO 27006 är att stödja certifieringsorgan genom att specificera krav och tillhandahålla vägledning. Certifieringsorganen måste genom kompetens och tillförlitlighet bevisa att de uppfyller kraven i denna standard. Termen skall används för obligatoriska bestämmelser, i ISO 17021 och ISO 27001 anges dessa som krav. Termen bör används för att beteckna de direktiv som anges. För att erhålla ackreditering förväntas certifieringsorganen anta direktiven, trots att dessa enligt standarden endast utgör en vägledning för tillämpning av kraven. Ett av syftena med denna standard är att möjliggöra för SWEDAC att mer effektivt samordna bedömningen av standarden mot hur de är bundna att bedöma certifieringsorganen. Varje avsteg från standarden är ett undantag. Avsteget kan godkännas av SWEDAC, beslut tas från fall till fall efter att certifieringsorganet har förklarat att undantaget motsvarar ledningssystemets kravklausuler som finns i ISO 17021, ISO 27001 och ISO 27006. 109
3.7.1 Tillägg I ISO 27006 kan kraven antingen hänvisa eller ange tillägg till ISO 17021. Klausulen kan hänvisa certifieringsorganet att tillämpa de krav som finns under samma nummer i ISO 17021. Exempelvis specificerar klausul 4 följande: “4 Principles The principles from ISO/IEC 17021:2006, Clause 4 apply.”110
Vid de tillfällen det i klausulen anges tillägg aviseras det att certifieringsorganen både skall tillämpa kraven i ISO 17021 och de tillägg som anges i ISO 27006. Exempelvis anger klausul 8.4 följande: ”8.4 Reference to certification and use of marks The requirement from ISO/IEC 17021:2006, Clause 8.4 apply. In addition, the following ISMS111-specific requirements and guidance applies. 8.4.1 IS Control of certification marks The certification body shall exercise proper control over ownership, use and display of its ISMS certification marks. If the certification body confers the right to use a mark to indicate certification of an ISMS, the certification body should ensure that the client organisation organization uses the specified mark only as authorised in mark writing by the certification body. The certification body shall not entitle the client organization to use this mark on a product or in a way that may be interpreted as denoting product conformity”. 112
108
ISO/IEC 17021:2006, ss 22-25 ISO/IEC 27006:2007, Informationsteknik – Säkerhetstekniker – Krav på organisationer som tillhandahåller revision och certifiering av ledningssystem för informationssäkerhet, 2007, ss iv-1 110 ISO/IEC 27006:2007, s 2 111 ISMS = LIS 112 ISO/IEC 27006:2007, s 7 109
31
TEORETISK REFERENSRAM
3.8 STAFS 2007:13, SWEDACs föreskrifter och allmänna råd om ackreditering av organ som certifierar ledningssystem I april 2007 beslutade SWEDAC att certifieringsorgan som är eller ansöker om att bli ackrediterade för certifiering av ledningssystem för arbetsmiljö, energi, informationssäkerhet, kvalitet, livsmedelssäkerhet och miljö skall följa STAFS 2007:13. STAFS 2007:13 är ett komplement till övriga föreskrifter och allmänna råd om ackreditering. I STAFS 2007:13 definieras att ackrediterade certifieringsorgan som certifierar ledningssystem för informationssäkerhet skall uppfylla krav i standard ISO 17021 och ISO 27006. Kraven på genomförandet av ackrediteringsansökan preciseras och det anges att det är viktigt att certifieringsorganet har rutiner för att analysera kompetensbehov och för att säkerställa organisationens kompetens för sökt område. Dessutom definieras övriga regler och förfarande avseende ackrediteringsprocess och uppföljning. STAFS 2007:13 innehåller även allmänna råd vilka kan ses som generella rekommendationer om tillämpning av en författning som anger hur någon kan eller bör agera i en viss situation. I allmänna råden finns det två avsnitt som vänder sig till certifieringsorgan som tillhandahåller revision och certifiering av LIS. I dessa avsnitt anges det att certifieringsorganet bör ha tillgång till uttalande om tillämplighet. Beskrivningen bör innehålla en sammanställning av samtliga kravelement vilka är relevanta och tillämpliga på organisationens ledningssystem för informationssäkerhet. Även en summering av den riskbedömning vilken ligger till grund för uttalandet om tillämplighet bör finnas. För certifiering av LIS gäller även att de kompetensområden som väljs bör återspegla de för branschen viktiga processer och riskområden. 113
113
STAFS 2007:13, SWEDACs föreskrifter och allmänna råd om ackreditering av organ som certifierar ledningssystem, 2007, ss 1-2; ss 4-5; ss 6-8
32
FÖRETAGSBESKRIVNING
4. Företagsbeskrivning Kapitlet presenterar SFK Certifiering AB och beskriver verksamhetens arbetsmetod. Informationen är inhämtad från muntliga och skriftliga källor inom SFK Certifierings organisation.
4.1 SFK Certifiering AB – Det Värdeskapande Certifieringsorganet SFK Certifiering AB är ett affärsdrivande aktiebolag ackrediterat av SWEDAC för att utföra systemcertifieringar. SFK Certifiering är verksamt över hela Sverige med huvudkontor i Jönköping och kontor i Göteborg och Stockholm. Företaget grundades år 1992 av Svenska Förbundet för Kvalitet, en ideell förening med cirka 3000 medlemmar inom svenska organisationer. SFK Certifiering har utvecklat ett värdeskapande koncept för processrevision och kan därigenom hjälpa företag att förbättra och förfina sina flöden. SFK Certifierings vision är att vara ledstjärna för inspirerande, kreativa och värdeskapande certifieringsprocesser. Visionen uttrycker organisationens strävan att tillsammans med kund utveckla effektivitet, lönsamhet och samhällsnytta i organisationen. SFK Certifiering menar att alla företag kan arbeta effektivare och därigenom bli mer lönsamma. Deras uppgift som certifieringsorgan är att se till att kundens ledningssystem fungerar, bidra till att variationer i kundens processer minskar samt att medverka till kundens ständiga förbättringar. Ständiga förbättringar är ett steg som leder både till bättre affärer och till bättre inre och yttre miljö. Förutom revision och certifiering av ledningssystem erbjuder SFK Certifiering sina kunder seminarium och kurser inom viktiga områden där nyheter och tips för vidareutveckling av ledningssystem behandlas. SFK Certifierings revisorer har gedigen arbetslivserfarenhet från flera branscher samtidigt som de har god teoretisk utbildning och vidareutbildar sig varje år. Samtliga revisorer har befogenheter att självständigt ta beslut vilket gör att SFK Certifiering har korta beslutsvägar där kunden alltid får besked direkt av revisorn. SFK Certifiering utför certifieringar på följande system: - Kvalitetsledningssystem enligt ISO 9001:2000 inklusive olika branschsystem, - Miljöledningssystem enligt ISO 14001:2004, - Energiledningssystem enligt SS 62 77 50, - Kvalitetsledningssystem med bilindustrins tilläggskrav enligt ISO/TS 16 949:2002 i samarbete med TÜV-syd, - Arbetsmiljö enligt AFS 2001:1 eller OHSAS 18001, - EMAS och - NFS 2005:6 Verifiering och granskning av utsläppsrapporter av koldioxid. SFK Certifiering är verksamma inom följande branscher: - Gummi- och plastindustri - Maskintillverkning - El- och optikprodukter - Grafisk industri - Massa och papper - Trävaruindustri - Partihandel - Hälso- och sjukvård - Företagshälsovård - Tjänsteföretag - Verkstadsindustri inklusive leverantörer till bilindustrin - Transportindustri
33
FÖRETAGSBESKRIVNING
4.2 Processrevision – SFK Certifieringsmetod vid revision SFK Certifiering använder sig av processinriktad revision där det vid revision fokuseras på processerna. Revisionen följer det naturliga flödet i organisationen, det vill säga processerna.
4.2.1 Kartläggning av processer och kompetenser Revisionen startar med en analys och kartläggning av kundens huvud-, stöd- och ledningsprocesser. En process är en uppsättning av sammanhängande aktiviteter som upprepas i tiden. Målet för processen är att tillfredsställa sina kunder, såväl interna som externa, med det slutresultat som produceras och samtidigt använda så lite resurser som möjligt. Processen medverkar till att knyta ihop historik med framtid. Det är huvudprocessen som är värdeskapande för organisationen och dess uppgift är således att uppfylla de externa kundernas behov. Huvudprocessen inkluderar de processer som förverkligar affärsidén. En stödprocess har interna kunder och har till uppgift att tillhandahålla resurser till de operativa resurserna. Ledningsprocessen syftar till att besluta om organisationens mål och strategier samt genomföra förbättringar av organisationens övriga processer. När processerna är kartlagda behöver även de medarbetare som är inblandade i processen kartläggas. Det är viktigt att ta reda på vem eller vilka som är ansvarig för processen samt vilken utbildning som behövs. Det måste även kartläggas vilken information och utrustning medarbetarna behöver för att kunna genomföra ett tillfredsställande arbete.
4.2.2 Mätning, styrning och kopplingar mellan processer När det undersökts att processen fungerar som planerat är nästa steg att fastställa hur processen mäts och styrs. En del processer är enklare att hitta mätetal till, så kallade nyckeltal. Exempelvis kan en produktionsprocess mätas med leveranssäkerhet och leveranskvalitet. Även mjukare processer kan mätas. Marknadsföringsprocessen kan exempelvis mätas genom antal order per lämnad offert men också genom mätningar av leveranssäkerhet och leveranskvalitet. Slutligen granskas vilka kopplingar den studerade processen har till rutiner och övriga processer. Det undersöks även vilka redovisande dokument som kan uppföras till processen för att visa att den fungerar på tillfredsställande sätt.
4.2.3 Revidering av processer Vid revision granskas först huvudprocesserna och deras nyckeltal. Visar nyckeltalen att processerna fungerar kan slutsatsen dras att ledningssystemet fungerar tillfredsställande. Även övriga processer bör granskas för att kundorganisationen skall kunna försäkra sig om att de fungerar på tillfredsställande sätt. Visar det sig att några av nyckeltalen inte är tillfredsställande kan det tyda på att processen inte fungerar som önskat. Processen bör då studeras mer noggrant genom ytterligare genomgångar av rutiner och samtal med inblandade medarbetare.
4.2.4 Fördelar för kund Genom SFK Certifierings revisionsprocess får kunden en kvalificerad genomgång av sina processer och sin organisation. Fokus ligger på kundorganisationens egna processer medan standardens paragrafer tonas ner. Kundorganisationen ges möjlighet att dokumentera lagom mycket eftersom fokus ligger på de redovisande dokumenten. SFK Certifiering anser att det är viktigare att visa vad som görs än att beskriva hur det är tänkt att genomföras. Kunden undviker på detta sätt avvikelser som inte tillför deras verksamhet någonting.
34
NULÄGESANALYS
5. Nulägesanalys Kapitlet inleds med en presentation över ackrediterade certifieringsorgan och certifierade företag i Sverige. Därefter följer en kort presentation över de ledningssystem SFK Certifiering idag genomför revisioner och certifieringar på. Kapitlet avslutas med en analys och kartläggning över vilka formella krav som ställs på SFK Certifiering inför en ackreditering.
5.1 Ackrediterade certifieringsorgan I dagsläget är det endast två svenska certifieringsorgan som är ackrediterade att utföra revision och certifiering enligt ISO 27001. Dessa certifieringsorgan är Det Norske Veritas Certification AB och SEMKO Certification AB. En ackreditering enligt ISO 17021 och ISO 27006 ligger därför i linje med SFK Certifierings vision och strategi, vilken är att utöka sin kompetens och bredda sin kundbas.
5.2 Organisationer i Sverige certifierade enligt ISO 27001:2006 I Sverige finns i september 2007 nio organisationer som är certifierade enligt ISO 27001, se bilaga 1. Dessa organisationer är verksamma inom sjukvården, verksamhetsutveckling samt utveckling av system till flyg-, kommunikation-, data- och telekomindustrin.
5.3 SFK Certifierings ackreditering SFK Certifiering är ackrediterade att genomföra revisioner och certifieringar enligt ISO 9001:2000, ISO 14001:2004, SS 62 77 50, AFS 2001:1 eller OHSAS 18001 och EMAS samt verifierar och granskar utsläppsrätter enligt NFS 2005:6.114 Genom samarbetsavtal med andra certifieringsorgan som SP Certifiering och TÜV-syd kan SFK Certifiering även erbjuda certifiering enligt andra system, exempelvis ISO/TS 16 949:2002. Ackrediteringens tillförlitlighet säkerställs genom att SWEDAC genomför kontinuerliga uppföljningar enligt ISO 17021 och tillämpliga STAFS.
5.4 Kompletteringskrav För att uppnå SWEDACs krav för ackreditering inom informationssäkerhet måste SFK Certifiering komplettera nuvarande ackreditering enligt ISO 17021 samt enligt de krav som anges i ISO 27006, ISO 27001 samt i STAFS 2007:13.
5.4.1 Kompletteringskrav enligt ISO 27006:2007 Nedanstående kompletteringsbehov skall genomföras innan SFK Certifiering kan ansöka om ackreditering för att genomföra revision och certifiering av LIS. Nedanstående kapitelnumrering följer kapitlen i ISO 27006 och berörda kapitel i SFK Certifierings verksamhetssystem benämns i kursivt. De krav i ISO 27006 som SFK Certifiering redan uppfyller utelämnas. 5.2
114
Allmänna krav skall kompletteras enligt 5.2.1 Intressekonflikter, Kapitel 1 Företaget
För förklaringar se kapitel 4.1
35
NULÄGESANALYS
7.1
Resurskrav skall kompletteras enligt: 7.1.1 Ledningens kompetens, Kapitel 4 Ledning 7.1.1.1 Kompetensanalys och kontraktsgenomgång, Kapitel 7 Planering och kapitel 5 Orderhantering 7.1.1.2 Resurser, Kapitel 5 Orderhantering
7.2
Resurskrav skall kompletteras enligt: 7.2.1 Kompetens hos certifieringsorganets medarbetare, Kapitel 11 Utbildning 7.2.1.1 Utbildning och träning av revisionsteam, Kapitel 7 Planering och kapitel 11 Utbildning 7.2.1.2 Ledningens beslutstagningsprocess, Kapitel 4 Ledning 7.2.1.3 Nödvändig nivå av utbildning, arbetslivserfarenhet, utbildning och erfarenhet för revisorer som utför revisioner av LIS, Kapitel 4 Ledning och kapitel 11 Utbildning
7.3
Användning av externa revisorer eller externa tekniska experter skall kompletteras enligt: 7.3.1 Användning av externa revisorer eller externa tekniska experter som medlemmar i revisionsteamet, Kapitel 7 Planering 7.3.1.1 Användning av tekniska experter, Kapitel 11 Utbildning
8.2.1 Certifikatsdokument skall kompletteras enligt: 8.2.1 LIS certifikatsdokument, Kapitel 8 Genomförande 8.4
Åberopande av certifikat och användandet av emblem skall kompletteras enligt: 8.4.1 Kontroll av certifikatsmärke, Kapitel 12 Administration
8.5
Konfidentiell skall kompletteras enligt: 8.5.1 Tillgång till kundorganisationens journaler, Kapitel 8 Genomförande av uppdrag
9.1
Allmänna krav skall kompletteras enligt: 9.1.1 Allmänna LIS revisionskrav, Kapitel 8 Genomförande av uppdrag 9.1.1.1 Revisionskriterier, Kapitel 8 Genomförande av uppdrag 9.1.1.2 Policy och procedurer, Kapitel 8 Genomförande av uppdrag 9.1.1.3 Revisionsteam, Kapitel 8 Genomförande av uppdrag 9.1.2 Certifikatets omfattning, Kapitel 12 Administration 9.1.3 Revisionstid, Kapitel 8 Genomförande av uppdrag 9.1.4 Flera verksamhetsställen, Kapitel 8 Genomförande av uppdrag 9.1.5 Revisionsmetodik, Kapitel 8 Genomförande av uppdrag 9.1.6 Certifieringsrevisions rapportering, Kapitel 8 Genomförande av uppdrag
36
NULÄGESANALYS
9.2
Förstagångsrevision och certifiering skall kompletteras enligt: 9.2.1 Kompetensnivå hos revisionsteam, Kapitel 11 Utbildning 9.2.1.1 Bevisande av revisors kompetens, Kapitel 11 Utbildning 9.2.2 Generella förberedelser inför förstagångsrevision, Kapitel 8 Genomförande av uppdrag 9.2.3 Förstagångsrevision, Kapitel 8 Genomförande av uppdrag 9.2.3.1 Revisionens första steg, Kapitel 8 Genomförande av uppdrag 9.2.3.2 Revisionens andra steg, Kapitel 8 Genomförande av uppdrag 9.2.3.3 Specifika moment vid revision av LIS, Kapitel 8 Genomförande av uppdrag 9.2.3.3.1 Uppfyllandet av lagliga och formella krav, Kapitel 12 Administration
9.3
Kontrollaktiviteter skall kompletteras enligt: 9.3.1 Uppföljande revisioner, Kapitel 8 Genomförande av uppdrag
9.4
Återcertifiering skall kompletteras enligt: 9.4.1 Förnyelse av certifikat, Kapitel 8 Genomförande av uppdrag
9.5
Special revisioner skall kompletteras enligt: 9.5.1 Speciella omständigheter, Kapitel 8 Genomförande av uppdrag alternativt kapitel 7 Planering
9.8
Klagomål skall kompletteras enligt: 9.8.1 Klagomål, Kapitel 8 Genomförande av uppdrag
5.4.2 Kompletteringskrav enligt STAFS 2007:13 4§
Ackrediterade certifieringsorgan som certifierar ledningssystem för informationssäkerhet skall uppfylla kraven i standarden ISO 17021 och ISO 27006. Vid planering av revisioner bör certifieringsorganet ha tillgång till ”Uttalande om tillämplighet” (Statement of Applicability). Denna beskrivning bör minst innehålla en sammanställning av samtliga kravelement vilka är relevanta och tillämpliga på organisationens LIS och en summering av den riskbedömning vilken ligger till grund för uttalandet om tillämplighet. För mer information hänvisas till standard ISO 27001, klausul 3.16 och 4.2.1.
37
NULÄGESANALYS
5.4.3 Kompletteringskrav enligt ISO 27001:2006 Det är inget krav att SFK Certifiering skall införa ett eget LIS för att bli ackrediterade. För att visa att organisationen arbetar aktivt med informationssäkerhet skall enligt SWEDAC ett motsvarande system till ISO 27001 med utvalda delar tillämpas. De krav författaren anser relevanta för SFK Certifiering redovisas nedan. De krav som redan täcks av SFK Certifierings verksamhetsmanual utlämnas i nedanstående lista. Nedanstående kapitelnumrering följer kapitlen i ISO 27001. 4
5
Ledningssystem för informationssäkerhet 4.1 Allmänna krav Organisationen bör följa de krav som specificeras i detta avsnitt. 4.2.1
Upprätta informationssäkerhetsarbete Organisationen rekommenderas att följa samtliga krav i detta avsnitt med undantag från punkt a.
4.2.2
Införa och driva informationssäkerhetsarbetet Organisationen rekommenderas att följa samtliga krav i detta avsnitt med undantag från punkt e och f.
4.2.3
Övervaka och granska informationssäkerhetsarbetet Organisationen rekommenderas att följa samtliga krav i detta avsnitt.
4.2.4
Underhålla och förbättra informationssäkerhetsarbetet Organisationen rekommenderas att följa samtliga krav i detta avsnitt med undantag från punkt c.
4.3.1
Allmänna dokumentationskrav Organisationen rekommenderas att följa samtliga krav i detta avsnitt med undantag från punkt b, h och i.
Ledningens ansvar Organisationen rekommenderas att följa samtliga krav i avsnitten: 5.1
Ledningens åtagande
5.2.1
Tillhandahållande av resurshantering
5.2.2
Praktisk utbildning, medvetenhet och kompetens
6
Interna revisioner av LIS Organisationen rekommenderas att följa samtliga krav i detta avsnitt.
7
Ledningens genomgång av LIS 7.1
Allmänt Organisationen rekommenderas att följa samtliga krav i detta avsnitt.
7.2
Underlag för genomgång Organisationen rekommenderas att följa samtliga krav i detta avsnitt med undantag från punkt b.
7.3
Resultat av genomgång Organisationen rekommenderas att följa samtliga krav i detta avsnitt.
38
NULÄGESANALYS
8
Förbättring av LIS Organisationen rekommenderas att följa samtliga krav i avsnitten. 8.1
Ständig förbättring
8.2
Korrigerade åtgärder
8.3
Förebyggande åtgärder
39
RESULTAT
6. Resultat Kapitlet preciserar på vilken plats i SFK Certifierings nuvarande verksamhetssystem de fastställda kraven enlig avsnitt 5.4 Kompletteringskrav bör införas.
6.1 Erforderliga kompletteringar av SFK Certifierings verksamhetssystem För att SFK Certifiering skall ges möjlighet att söka ackreditering enligt ISO 27006 bör organisationen integrera och implementera nedanstående kompletteringar. De kompletteringsrekommendationer som ges är knutna till de formella krav som ställs på SFK Certifiering inför en ackreditering vilka framkommit i avsnitt 5.4 kompletteringskrav. Till varje ny rutin och komplettering av befintlig rutin lämnas referens till respektive ISO standard. I standarden anges det specifikt vad den nya rutinen, alternativt den kompletterade rutinen skall inkludera.
6.1.1 Kompletteringar av kapitel i befintligt verksamhetssystem Det rekommenderas att kompletteringarna integreras i SFK Certifierings befintliga verksamhetssystem enligt nedanstående förslag. Kapitel 1 Företaget - Informationssäkerhetspolicy skall framtas, ny, ref. ISO 27001, 4.2.1, b - Konfidentialitetspolicy skall framtas, ny, ref. ISO 17021, 8.5 - Mål och planer för informationssäkerhet, ny, ref. ISO 27001, 5.1 - Riskidentifiering och bedömning, ny, ref. ISO 27001, 4.2.1 c och d - 1.8 Principer, värderingar, risker, kompletteras enligt ISO 27006, 5.2.1 Kapitel 2 Organisation - Kommittén för att säkerställa opartiskhet behöver revideras, ref. ISO 17021, 6.2 Kapitel 4 Ledning - Kapitlet bör omarbetas med avseende på ISO 17021, 6.1 - 4.1 Ledningens genomgång kompletteras enligt ISO 27001, 4.2.3 f och 5.2.1 a, b, c, d, e och f - 4.3 Strategi-, affärsplan- och budgetmöten uppdateras enligt ISO 27001, hela avsnitt 7 med underrubriker - Ledningens kompetens, ny, ref. ISO 27006, 7.1.1 och 7.2.1.2 - Ledningens opartiskhet, ny, ref. ISO 17021, 5.2 - Intressekonflikter, ny, ref. ISO 27006, 5.2 - Informationssäkerhetsmöten, ny, ref. ISO 27001, 5.1 c, d och f samt hela avsnitt 7 med underrubriker Kapitel 5 Orderhantering - 5.1.4 Offert kompletteras med nummer för informationssäkerhet - 5.1.3 Kontraktsgenomgång skall kompletteras enligt ISO 27006, 7.1.1.1 - 5.2 Bedömning av revisionslagets kompetens och oberoende, kompletteras enligt ISO 27006, 7.1.1.1
40
RESULTAT
Kapitel 7 Planering - Kompetensanalys, ny, ref. ISO 27006, 7.1.1.1 - 7.3 Planering av revision kompletteras enligt STAFS 2007:13 § 4 - 7.6 Bedömning av revisionslagets kompetens och oberoende, kompletteras enligt ISO 27006, 7.1.1.2, 7.2.1.1.1, 7.2.1.1.2 och enligt 7.3.1 Kapitel 8 Genomförande av uppdrag - Kapitel bör uppdateras med hänsyn till ISO 27006, 8.2.1 - 8.1.1 Dokumentgranskning, kompletteras enligt ISO 27006, 9.1.1.2 - 8.1.4 Certifieringsrevision allmänt, kompletteras enligt ISO 27006, 9.1.1, 9.1.1.1 och 9.1.1.3 - 8.1.5 Certifieringsrevision del 1, kompletteras enligt ISO 27006, 9.2.3.1 - 8.1.6 Certifieringsrevision del 2, kompletteras enligt ISO 27006, 9.2.3.1, 9.2.3.2.1 och 9.2.3.2.2 - 8.1.8 Uppföljande revision, kompletteras enligt ISO 27006, 9.3.1 - 8.1.9 Förnyelse av certifikat, kompletteras enligt ISO 27006, 9.4.1 - 8.2 Standarder m.m. skall kompletteras enligt ISO 27006, 8.1.1, 9.2.3.3, 9.2.3.3.1 och 9.2.3.3.2 - 8.3 Genomförande av revision, kompletteras enligt ISO 27006, 9.1.6 - 8.3.4 Verksamhet på flera orter – multisite, kompletteras enligt ISO 27006, 9.1.4 - 8.3.5 Beslut och utfärdande av certifikat, kompletteras enligt ISO 27006, 9.2.4 och 9.2.5 - 8.3.8 Överklaganden och andra avvikelser kompletteras enligt ISO 27006, 9.8.1 - Revisionsmetodik, ny, ref. ISO 27006, 9.1.5 - Tillgång till kundorganisationens journaler, ny, ref. ISO 27006, 8.5.1 - Generella förberedelser inför förstagångsrevision, ny, ref. ISO 27006, 9.2.2 - Revisionstid, ny, ref. ISO 27006, 9.1.3 - Speciella omständigheter, ny, ref ISO 17021, 9.5 och ISO 27006, 9.5.1, alternativt kompletteras istället avsnitt 7.5 Ändringar i omfattning Kapitel 11 Utbildning Författaren har uppdaterat och kompletterat ett förslag på utseende och kompletteringar till SFK Certifiering avseende kapitel 11. I förslaget har nedanstående kompletteringar genomförts. Förslaget har lämnats till ansvarig på SFK Certifiering. - 11.6 Godkännande av revisorer, revisionsledare och tekniska experter samt granskare av EMAS-redovisningar, komplettering enligt ISO 27006, 7.2 - 11.8 Sammansättning av revisionsteam, kompletteras enligt ISO 27006, 7.2, 9.2.1 och 9.2.1.1 - Särskilda krav på revisorer för informationssäkerhetsrevision, ny, ref till ISO 27006, 7.2 och 9.2.1.1 - Särskilda krav för revisionsledare inom informationssäkerhet, ny, ref till ISO 27006, 7.2 - Särskilda krav på tekniska experter för informationssäkerhet, ny, ref till ISO 27006, 7.3 - Ledningssystem för informationssäkerhet, ny, ref till ISO 27006, 7.2 - Utbildningsbehov kompletteras enligt ISO 27006, 7.2.1.1
41
RESULTAT
Kapitel 12 Administration - 12.2 Dokumentstyrning, kompletteras enligt ISO 27006, 8.5.1 och ISO 27001, 4.2.3 h - 12.3 Certifieringsmärke, kompletteras enligt ISO 27006, 8.4.1, avsnittet bör även uppdateras med avseende på ISO 17021, 8.4 - Certifikatets omfattning, ny, ref. ISO 27006, 9.1.2 - Dokumentationskrav, ny, ref. ISO 27001, 4.3.1 a, b, c, d, e, f, g och h Kapitel 13 Förbättring - 13.4. Interna revisioner kompletteras enligt ISO 27001, 4.2.3 e, 5.1 g samt 6 a, b, c och d - 13.8 Förebyggande åtgärder kompletteras enligt ISO 27001, 8.1 Kapitel 16 Informationssäkerhet, nytt kapitel Genom samtal med SWEDAC har det framkommit att SFK Certifiering behöver kunna bevisa att organisationen aktivt arbetar med informationssäkerhetssystem. Detta kan påvisas genom att SFK Certifiering integrerar relevanta krav från ISO 27001 med befintligt ledningssystem. Relevanta krav specificeras enligt 5.4.3 Kompletteringskrav enligt ISO 27001:2006. Enligt SWEDAC bör SFK Certifiering lägga fokus på riskanalyser och åtgärder för eventuella avvikelser. -
Risker - Riskbedömning ny, ref. ISO 27001, 4.2.1 d - Riskidentifiering, ny, ref. ISO 27001, 4.2.1 c - Riskanalysering och utvärdering, ny, ref. ISO 27001, 4.2.1 e - Alternativ hantering av risker, ny, ref. ISO 27001, 4.2.1 f - Målsättning för hantering av risker, ny, ref. ISO 27001, 4.2.1 g - Åtgärder för hantering av risker, ny, ref. ISO 27001, 4.2.1 g och h - Korrigerande åtgärder, ny, ref. ISO 27001, 8.2 a, b, c, d, e och f - Förebyggande åtgärder, ny, ref. ISO 27001, 8.3 a, b, c, d och e
-
Riskbehandlingsplan - Riskbehandlingsplan, ny, ref. ISO 27001, 4.2.2 a, b, c och d - Säkerhetsplan, ny, ref. ISO 27001, 4.2.2 h och 4.2.3 g
-
Övervakning och granskning av informationssäkerhetsarbetet - Övervakning och granskning, ny, ref. ISO 27001, 4.2.3 a och b - Verifiering av uppfyllda säkerhetskrav, ny, ref. ISO 27001, 4.2.3 c - Granskning av riskbedömningar, ny, ref. ISO 27001, 4.2.3.d
-
Utbildning, alternativt flyttas till kapitel 11 - Praktisk utbildning och kompetens, ny, ref. ISO 27001, 5.2.2 a, b, c och d
42
RESULTAT
6.1.2 Kompletteringar av instruktioner i befintligt verksamhetssystem SFK Certifiering har i sin verksamhetsmanual ett antal instruktioner, dessa bör kompletteras enligt följande förslag. Instruktioner - Behörighets- och verksamhetskodlista kompletteras med informationssäkerhet - Bestämmelser för certifiering kompletteras med informationssäkerhet - Namnge rapporter och revisionsöversikter kompletteras med informationssäkerhet - Policydokument. SFK Certifiering AB har redan en policy för Informationssäkerhet, denna är i behov att uppdateras
6.1.3 Kompletteringar av blanketter i befintligt verksamhetssystem SFK Certifierings verksamhetsmanual innehåller blanketter där följande två behöver kompletteras enligt nedanstående förslag. Blanketter - Beslutsprotokoll mall kompletteras med ISO 27001 - Revisionsöversikt Informationssäkerhet skall framtas
43
REKOMMENDATIONER
7. Rekommendationer Kapitlet innehåller förslag till implementeringsplan, vägledning samt potentiella svårigheter och farhågor vid implementering av informationssäkerhetsarbetet. Kapitlet avslutas med förslag till förbättring i SFK Certifierings nuvarande verksamhetsmanual. Rekommendationerna har framställts utifrån författarens slutsatser vilka är en produkt av rapportens teoretiska referensram och resultatkapitel sammankopplat med författarens övriga akademiska kunskaper och tidigare arbetslivserfarenhet.
7.2 Förslag till implementeringsplan SFK Certifiering rekommenderas att starta informationssäkerhetsarbetet med hänsyn till organisationens strategier och mål. Angreppssättet förväntas vara strukturerat och utgå från organisationens egna specifika krav på säkerhet. För att underlätta för SFK Certifiering vid implementering av informationssäkerhetsarbetet rekommenderas att projektbilden i figur 10 följs. Figuren visar att organisationen först skall beskriva vilket skydd som önskas för att sedan gå in på hur implementeringen skall genomföras, följas upp och förbättras. Genom figuren kan SFK Certifiering även förklara för samtliga medarbetare vad processen för informationssäkerhet innehåller för komponenter.
Figur 10, Bilder förklarar för organisationens medarbetare vad processen för informationssäkerhet innehåller för komponenter. Källa: Andersson, J.-O. Informationssäkerhetshandbok. (2007) s 17
Eftersom SFK Certifiering redan har ett befintligt verksamhetssystem med utgångspunkt i ISO 9001 rekommenderas organisationen att integrera informationssäkerhetsledningssystemet med detta befintliga system. Eftersom allt säkerhetsarbete grundas på organisationens egna behov av skydd bör en analys av verksamheten genomföras. Därefter bör SFK Certifiering genomföra riskanalyser, förslagsvis i samråd med utarbetning av informationssäkerhetspolicy. SFK Certifiering rekommenderas att följa de implementeringssteg som beskrivs i figur 11. Figuren är omarbetad från figur 4 i avsnitt 3.2.6 Utarbetande av säker informationshantering. Detta för att på ett mer utförligt sätt visa att organisationen skall ta hänsyn till egna krav och behov på säkerheten.
44
REKOMMENDATIONER
Ta fram en informationssäkerhetspolicy
Sätt samman en säkerhetsorganisation
Kartlägg riskerna genom en riskanalys
Implementering av ISO 27006 och tillämpliga krav enligt ISO 27001 Utbilda medarbetare
Uppföljning Figur 11, Flödesschema vid implementering av informationssäkerhetsarbete. Utarbetad av L. Adeteg, 2007 med stöd från SIS Broschyr (1999) s 7
7.2.1 Steg 1, Informationssäkerhetspolicy Inledningsvis rekommenderas SFK Certifiering att ta fram en informationssäkerhetspolicy med tillhörande riktlinjer. Genom att fastställa informationssäkerhetsarbetet i en informationssäkerhetspolicy visar ledningen vald inriktning och strategi samt sitt engagemang för arbetet. Policyn är ett hjälpmedel som gör medarbetarna medvetna om informationssäkerhetsarbetets betydelse och visar vägen för att nå uppsatta mål. Informationssäkerhetspolicyn visar även vilka åtgärder som behövs för att skapa en säkerhetsmässigt godtagbar nivå som kan motiveras ekonomiskt. Vid framtagandet av informationssäkerhetspolicyn bör ledningen genomföra en analys av verksamheten vilken ligger till grund för framtagandet av policyn. I samarbete med framtagande av policyn, efter analysen av verksamheten, bör riskanalyser genomföras. Detta eftersom det är riskanalysen som visar på vilka säkerhetsområden organisationen behöver fokusera på. Tillsammans med analysen av verksamheten utgör därför riskanalysen en betydande grund till vilka områden policyn skall beröra.
7.2.2 Steg 2, Riskanalys Riskanalysen är en primär del av informationssäkerhetsarbetet och ligger till grund för det fortsatta arbetet. För att SFK Certifiering skall få möjlighet att identifiera existerande hot, upptäcka sina svaga punkter, identifiera förbättringspotentialer samt få ned bristerna i informationssäkerheten till en acceptabel nivå skall SFK Certifiering genomföra riskanalyser. I riskanalysen identifieras och värderas sannolikheten för att hot förverkligas och tänkbara effekter uppskattas. Riskanalysen bör följas upp med en konsekvensanalys där konsekvensen av att ett identifierat hot inträffar bedöms. För beskrivning av hur riskanalyser genomförs samt vilka tekniker som kan användas hänvisas till avsnitt 3.2.3 Riskbedömning och avsnitt 3.2.4 Metoder för analys. Figur 4 i avsnitt 3.2.3 Riskbedömning ger en överskådlig bild över riskbedömningsarbetet.
45
REKOMMENDATIONER
Genom att utföra risk- och konsekvensanalyser kan SFK Certifiering inrikta informationssäkerhetsarbetet mot att minimera risken för att drabbas av en oönskad risk. När riskerna identifierats och åtgärdats kan SFK Certifiering medverka till att varje typ av risk minimeras. Riskanalysen ger även ledningen information om vilka säkerhetsinvesteringar som behöver genomföras och om vilka risker vissa beslut innebär.
7.2.3 Steg 3, Säkerhetsorganisation SFK Certifiering rekommenderas att utse en säkerhetsorganisation. Det är viktigt att organisationen visar ansvar och ledarskap, därför bör Vd vara ansvarig för säkerhetsorganisationen. Säkerhetsorganisationen kallas ofta för säkerhetsråd och förslagsvis bör förutom Vd, även medarbetare från säkerhetsfunktion, marknads- och försäljningschef, utvecklingschef, administratör samt eventuellt organisationens jurist ingå. Det viktiga är att alla kompetenser i organisationen finns representerade i säkerhetsrådet. Finns alla kompetenser representerade kan samtliga medarbetare känna sig som en del av informationssäkerhetsarbetet. Säkerhetsorganisationens storlek är beroende av verksamhetens storlek, verksamhetens art och vilken hotbild som finns. Säkerhetsorganisationen bör därför inte fastställas innan dess att de inledande riskanalyserna är genomförda.
7.2.4 Steg 4, Implementering av ISO 27006 och tillämpliga krav enligt ISO 27001 Efter att steg 1 – 3 är genomförda rekommenderas SFK Certifiering att implementera ISO 27006 och relevanta delar av ISO 27001. Författaren föreslår att utarbetning och komplettering av rutiner sker enligt avsnitt 6.1 Erforderliga kompletteringar av SFK Certifierings verksamhetssystem. Vid införandet bör SFK Certifiering säkerställa att ansvaret för informationssäkerheten först förankras i ledningsgruppen för att därefter spridas till medarbetarna. Det är även viktigt att samtliga berörda medarbetare får korrekt vägledning samt att SFK Certifiering tillhandahåller uppdaterade befattningsbeskrivningar med individuella riktlinjer. Under implementeringsfasen förväntas SFK Certifiering även ta fram rutiner för hantering av eventuella säkerhetsincidenter. Det föreslås att detta arbete samordnas med utarbetande av en incidentdatabas där samtliga risker registreras, utvärderas och analyseras. I implementeringsfasen bör även en kontinuitetsplan fastställas. Kontinuitetsplanen skall säkerställa att verksamheten kan upprätthållas även om en allvarlig störning inträffar.
7.2.5 Steg 5, Utbildning För att höja informationssäkerhetsnivån på organisationens medarbetare föreslås SFK Certifiering att under implementeringsfasen ta fram en utbildningsplan för samtliga medarbetare. Medarbetarna bör bland annat vara utbildade i att på ett korrekt och säkert sätt ha kunskap om relevanta tekniska system inom organisationen. Dessutom bör de revisorer som är aktuella att revidera enligt ISO 27001 säkerställa att deras kompetensnivå är tillfredsställande enligt fastställda krav. Under 7.3.2 Utbildning, finns ytterligare information avseende utbildning.
46
REKOMMENDATIONER
7.2.6 Steg 6, Uppföljning För att SFK Certifiering skall ges möjlighet att säkerställa att informationssäkerhetsarbetet efterlevs på ett tillfredsställande sätt är det viktigt att uppföljningar mot säkerhetspolicy, verksamhetssystem, regler och övriga normer genomförs kontinuerligt. Vid uppföljning kan SFK Certifiering med fördel använda sig av planerade interna revisioner. De interna revisionerna genomförs med syfte att säkerställa att mål, åtgärder, processer och rutiner motsvarar fastställda förväntningar.
7.3 Tips och förslag Eftersom SFK Certifiering idag har ett fungerande verksamhetssystem rekommenderas ledningssystemet för informationssäkerhet att integreras i detta befintliga system enligt förslagen i avsnitt 6.1.1 Kompletteringar av kapitel i befintligt verksamhetssystem. Det rekommenderas att utarbetandet av LIS sammankopplas med ISO 17021, ISO 27001, ISO 27006 och STAFS 2007:13 samt att det ständigt är ordning och reda, sett ur ett säkerhetsperspektiv. För att undvika tveksamheter i organisationen avseende informationssäkerhetsarbetet är det viktigt att ledningen visar sin inriktning och sitt engagemang. Ledningen måste prioritera säkerhetsarbetet för att medarbetarna skall få en förståelse för konsekvensen om implementeringen uteblir. Det rekommenderas att organisationen klart definierar vem som är ansvarig för vad och ger ansvarig för utarbetandet av underliggande dokument erforderliga resurser. För att få ett informationssäkerhetsarbete att fungera är det av stor betydelse att tillvägagångssättet är välkänt och integrerat hos samtliga medarbetare i verksamheten. Alla måste känna till målen med LIS och det ständigt pågående säkerhetsarbetet. Det är genom denna medvetenhet som medarbetarna kan bidra till att uppsatta mål nås. Inför ansökan om ackreditering enligt informationssäkerhet bör SFK Certifiering i ett tidigt stadium starta en kommunikation med SWEDAC och även försöka finna en kund som är villig att certifieras under ackrediteringsprocessen. SFK Certifiering bör också tänka på att redovisa säkerhetsinvesteringar i ekonomiska termer. Detta för att organisationen på ett överskådligt sätt skall kunna jämföra behov gentemot kostnaden för investeringen. Vid integrering, framtagande och implementering av LIS är det betydelsefullt att SFK Certifiering genomför riskanalyser på ett noggrant och tillfredsställande sätt. SFK Certifiering bör fundera på lösningar, genomföra dem och slutligen följa upp effekten av åtgärderna. En viktig del i informationssäkerhetsarbetet är att klassificera informationstillgångar, det vill säga vilken information som bör skyddas och på vilken nivå. För att införandet av informationssäkerhet skall lyckas är det av stor vikt att alla medarbetare känner sig delaktiga i arbetet. Föreslår därför att SFK Certifiering prioriterar den psykosociala arbetsmiljön. Medarbetare som mår dåligt och saknar lojalitet ses som ett av de allvarligaste hoten mot informationssäkerhet.
7.3.1 Beaktning vid framtagande och komplettering av rutiner Vid framtagande av nya rutiner för informationssäkerhetssystemet i befintligt verksamhetssystem rekommenderas SFK Certifiering att ansvarig för informationssäkerhetssystemet tar fram förslag på rutiner. Förslagen presenteras på ett fysiskt möte för berörda medarbetare i avsikt att erhålla involverade personers åsikter. Förslaget bearbetas därefter. När berörda medarbetare är inblandade vid framtagandet ökar både engagemang och delaktighet vilket leder till att rutinerna blir enklare att implementera.
47
REKOMMENDATIONER
Det bör däremot undvikas att alla inblandade medarbetare är med och utarbetar det första förslaget. Detta på grund av att det kan bli svårt att få fram ett konkret förslag, dessutom är det inte resursmässigt fördelaktigt om flera sitter med det första utkastet. Får alla berörda medarbetare vara med att ändra och justera förslaget känner de sig delaktiga och det är lättare att få rutinen att accepteras och således att fungera. Ovanstående angreppssätt kan vara något mer tidskrävande, i gengäld ökar förståelsen och engagemanget vilket leder till en snabbare implementering och att resultatet blir mer tillfredsställande. När justeringar och uppdateringar genomförts implementeras rutinerna i verksamheten, alternativt kan vissa rutiner behöva bearbetas igen eller bearbetas av ytterligare medarbetare. Det är viktigt att ha i minne att inget är så bra att det inte kan bli bättre, därför skall verksamhetssystemet kontinuerligt uppdateras. Vid framtagande av rutiner kan flödesschema med fördel användas. Flödesschema åskådliggör stor mängd information på ett överskådligt sätt. Eftersom det är betydelsefullt att veta vem som är ansvarig för vad, är det angeläget att varje rutin har en definierad processägare. Vid kompletteringar av rutiner är det av stor vikt att ta hänsyn till exakt vad som behöver kompletteras och var i verksamhetssystemet kompletteringen skall genomföras. Även vid kompletteringar bör ansvarig ta fram ett förslag som därefter remitteras ut för kommentarer. När det är större justeringar där utredningar och expertkunskap behövs, bör berörda medarbetare träffas på ett fysiskt möte för att tillsammans komplettera, justera och godkänna den bearbetade rutinen. Är det mindre kompletteringar kan rutinen med fördel endast kommuniceras ut på remiss via e-post.
7.3.2 Utbildning För att upprätthålla en god säkerhetsnivå är det fördelaktigt om medarbetarna har goda kunskaper inom risk och säkerhet samt att de har tillfredsställande säkerhetsmedvetande och en hög motivation i sitt arbete. Detta uppnås främst genom kontinuerlig utbildning samt att medarbetaren har goda kunskaper om det egna arbetet. Varje medarbetare skall ha tillräcklig kunskap om hur dennes ordinarie arbetsuppgifter skall skötas samt hur informationssäkerhet skall uppnås. Samtliga medarbetare bör utbildas i organisationens sårbarhet mot angrepp från manipulatörer. Medarbetarna bör övas i hur de upptäcker en bedragare samt vilken grad av misstanke som skall sättas när medarbetare kommer i kontakt med någon som denne inte känner personligen. Om medarbetare kommer i kontakt med någon person denne inte känner måste medarbetaren kunna luta sig mot verksamhetens informationssäkerhetspolicy i sitt sätt att agera. Rekommenderar således att SFK Certifiering ökar medvetandet hos sina medarbetare genom att formulera en informations- och utbildningsplan. För att uppnå acceptans hos medarbetarna är det dessutom viktigt att ledningen skapar förståelse för säkerhetsarbetet och varför utbildning behöver genomföras. Efter genomgång av kompetensnivån hos SFK Certifiering avseende informationssäkerhetsarbetet framgår att denna nivå bör höjas. I första hand bör SFK Certifierings fastanställda medarbetare utbildas inom informationssäkerhet och därefter underleverantörer och eventuella konsulter. Eftersom SFK Certifiering samarbetar med en teknisk expert inom informationssäkerhet kan sannolikt viss kompetenshöjning genomföras via denna tekniska expert. I övrigt rekommenderas medarbetarna att delta i distanskurser vid universitet som ger kurser i informationssäkerhet. Föreslår att utbildningen av medarbetarna genomförs som en strategisk del av informationssäkerhetsarbetet och att utbildningensplanen utarbetas när de första riskanalyserna är genomförda. Detta eftersom utbildningsnivån är beroende av de risker och hot som finns mot organisationen.
48
REKOMMENDATIONER
I ISO 27006 ställs det krav på revisorer som skall revidera enligt ISO 27001. Förutom allmänna krav på revisorer och revisionsledare skall revisorer som reviderar ledningssystem för informationssäkerhet bland annat besitta minst 4 års heltidsarbete inom en organisation som har erfarenhet av informationsteknologi, varav 2 år skall vara i en roll associerat med informationssäkerhet. Revisorn skall tillfredsställande ha genomfört en fem dagars utbildning vilken omfattar revision av informationssäkerhetsledningssystem. Det ställs även krav på att revisorn skall ha kunskap om metoder och förfaranden som hör till informationssäkerhet, kunskap i riskbedömningsmetoder och riskledning ur ett affärsmässigt perspektiv. Revisorn skall även vara insatt i den branschspecifika terminologin, informationssäkerhetsaspekter och risker i informationssäkerhetsområdet samt allmänna metoder för informationssäkerhetsskydd. För att uppnå kunskap om analysmetoder, för att ges möjlighet att bedöma säkerhetens betydelse, kritiska egenskaper, övervaknings- och övriga tekniker för att förhindra informationsläckor framför SFK Certifiering krav på att revisorn skall ha minst 15 högskolepoäng eller motsvarande kunskap inom området. För mer information avseende formella krav på revisorer som reviderar ledningssystem för informationssäkerhet hänvisas till ISO 27006 klausul 7.2 och 9.2.1.1.
7.3.3 Resursbehov Eftersom riskhantering inom informationssäkerhet ställer höga krav på ansvarig avseende riskkunskap och riskmedvetenhet rekommenderas det att ansvarig person har universitetsutbildning eller likvärdig utbildning inom området. Vid integrering och implementering av LIS är det dessutom önskvärt om en person med kompetens och erfarenhet från verksamhetsledning, verksamhetssystem och informationssäkerhet är ansvarig för utvecklingen. Eftersom ledningssystem för kvalitet och informationssäkerhet är uppbyggda på liknande sätt bör ansvarig person besitta stor kunskap avseende utveckling av kvalitetsledningssystem. Rekommenderar ett en person är ansvarig för informationssäkerhetsarbetet och att denne tillsammans med medarbetare från olika funktioner startar med att genomföra riskanalyser. När riskanalyserna är genomförda kan beslut tas om hur stora resurser som behövs till informationssäkerhetsarbetet.
7.3.4 Tidsaspekt Eftersom det redan finns ett verksamhetssystem hos SFK Certifiering reduceras tiden för utveckling och implementering av LIS. Under dessa omständigheter och om ledningen är engagerad och avsätter erforderliga resurser bedöms tiden till dess att LIS är integrerat och implementerat att uppgå till cirka 6 månader. Tidsaspekten ges med reservation, detta eftersom tiden står i relation till avsatta resurser och till resultat av riskanalys. Det är först när den första riskanalysen är genomförd som tidplanen mer precist kan planeras. Detta på grund av att säkerhetsarbetet skall utgå från organisationens egna säkerhetsbehov vilka är okända innan dess att riskanalysen genomförts.
7.4 Eventuella svårigheter Eventuella problem SFK Certifiering kan stöta på vid implementering av informationssäkerhetsarbetet kan vara att det finns, alternativt uppstår oklarheter i organisationen. Det vill säga att det finns tveksamheter om vad det är som gäller och vem som är ansvarig för vad. Det kan uppstå problem om ledningen inte tydligt visar sin inriktning och sitt engagemang. Inom organisationer kan det generellt finnas en uppfattning om att det är svårt att ta fram underliggande dokument som riktlinjer, anvisningar och instruktioner.
49
REKOMMENDATIONER
Det finns även en risk att när LIS är utarbetat och implementerat faller hanteringen av systemet. För att undvika detta kan SFK Certifiering ständig uppdatera sin riskanalys och koppla resultatet till ständiga förbättringar. När brister i en riskanalys har åtgärdas skall nya risker sökas. Risker förändras över tid och det är därför nödvändigt att ständigt uppdatera riskanalysen. Det är viktigt att komma ihåg att inget läge är stabilt. Organisationen växer, tekniken utvecklas, omvärlden förändras, nya medarbetare tillkommer och andra slutar. SFK Certifiering rekommenderas att vid arbetet med ständiga förbättringar ta hänsyn till kopplingen mellan krav och mål i förhållande till förbättringsprocesserna.
7.5 Farhågor Författaren fick inte förrän efter mer än halva tiden av examensarbetet reda på att SFK Certifiering inte var ackrediterade enligt den nya standarden ISO 17021 utan att de är ackrediterade enligt tidigare gällande ackrediteringsregler. Vid denna tidpunkt fanns ingen tid att kontrollera klausulerna i ISO 17021 mot SFK Certifierings befintligt verksamhetssystem. Detta kan medföra att vissa klausuler som inte berör informationssäkerhet i ISO 17021 inte är uppfyllda och således inte heller de klausuler som i ISO 27006 hänvisar till ISO 17021 utan att ange kompletterande krav. När SFK Certifiering ansöker om ackreditering enligt ISO 27006 är det angeläget att det uppmärksammas att övergångsreglarna från tidigare ackrediteringsregler gentemot ISO 17021 upphör att gälla. Enligt SWEDAC kan certifieringsorgan inte ha övergångsregler vid en nyackreditering eftersom alla formella krav måste vara uppfyllda för att den nya ackrediteringen skall godkännas. Vid en ackreditering enligt ISO 27006 måste följaktligen alla krav i ISO 17021 vara uppfyllda. Detta kan eventuellt orsaka vissa hinder vid ackrediteringen eftersom SFK Certifiering exempelvis inte har implementerat någon rutin för säkerställande av intressekonflikter. Enligt Magnus Pedersen på SWEDAC är klausulen intressekonflikter viktig att lyfta fram och arbeta med.
7.6 Förbättringspotential i nuvarande verksamhetsmanual Genomgående har verksamhetsmanualens olika delar varierande utseende vilket förvillar vid läsning. Rekommenderar en grundlig revidering av SFK Certifierings befintliga verksamhetssystem. Nedan följer några exempel på förbättringsförslag. -
Ibland används ordet revisionslag och ibland revisionsteam, användandet bör vara konsekvent.
-
Av och till används revision och ibland används istället audit, användandet bör vara konsekvent.
-
Under Kapitel 7 Planering, bör avsnitt 7.3 Planering av revision granskas. Där hänvisas till avsnitt 7.5, det är troligtvis fel hänvisning, bör nog vara hänvisas till 7.6 istället.
-
Förbättringslista under kapitel 13 Förbättring går inte att nås med avsedd länk, länken bör uppdateras.
-
Numreringen är på flera ställen i verksamhetssystemet bristfällig, genomgående bör kapitel och övrig numrering uppdateras.
-
Avsnitt 5.2 Bedömning av revisionslagets kompetens och oberoende rubrik i innehållsförteckning stämmer inte med rubrik i texten som är 5.2 Bedömning av SFK Certifiering AB möjlighet att genomföra uppdraget.
50
REKOMMENDATIONER
-
-
Varför finns det endast med 11.5.6 Särskilda krav för revisionsledare inom arbetsmiljöområdet, och nu även informationssäkerhet? Varför inte krav för revisionsledare inom kvalité och miljö? Rutinerna kan med fördel kompletteras med en ny rubrik Syfte. Detta för att alla skall förstå anledningen till varför rutinen upprättades och varför den är viktig för organisationen.
-
Det finns ingen processägare för rutinerna. Vore bra om rutinerna har en ansvarig person exempelvis utvecklingschef, försäljningschef eller personalchef. Finns det ingen ansvarig finns det risk att exempelvis uppdatering förbises.
-
Innehållsförteckningen skiljer sig åt i layouten, rekommenderar att samtliga innehållsföreteckningar uppdateras och att de samtidigt länkas till respektive rubrik i avsnittet med avsikt att det blir lättare att finna avsnittet som söks.
-
Rekommenderar att rubriknummer uppdateras i avsikt att smidigare kunna uppdatera verksamhetsmanualen. Med aktuell numrering tvingas alla kompletteringar läggas sist i kapitlet istället för under det avsnitt där informationen passar bättre in.
51
DISKUSSION
8. Diskussion I kapitlet förs en diskussion över det i projektet utförda arbetet samt resonemang över val av metod och vilken inverkan denna har haft för det färdiga resultatet. Kapitlet avslutas med en presentation över begränsningar i undersökningen och förslag till fortsatt arbete.
8.1 Utfört arbete Examensarbetet utgår från ett problem av praktisk natur där projektuppdragaren SFK Certifiering vill utveckla och förändra befintligt verksamhetssystem. Projektet har gett SFK Certifiering underlag till att utveckla ett eget LIS som integreras med nuvarande verksamhetssystem. Genom en GAP-analys har de standarder som ligger till grund för en ackrediteringsansökan kartlagts och analyserats mot SFK Certifierings befintliga verksamhetssystem vilket också var projektets huvudsakliga syfte. Det har varit både intressant och stimulerande att arbeta med projektet vilket har bidragit till att ett tillfredsställande resultat har uppnåtts. Resultatet motsvarar det i syftet specificerade uppdraget och kan följaktligen betraktas som uppfyllt. I projektet erhölls en tillfredsställande bild av befintligt verksamhetssystem genom kartläggning av SFK Certifierings nuvarande verksamhetssystem samt genom intervjuer med Per-Olof Winberg på SFK Certifiering. För att erhålla en förståelse för de krav som finns inför en ackreditering har berörda ISO standarder och STAFS noggrant analyserats. Ytterligare kunskap om krav och förväntningar inför en ackreditering införskaffades genom information av, och intervju med, SFK Certifierings kontaktman på SWEDAC, Magnus Pedersen. För att erhålla en förståelse för informationssäkerhet som begrepp och vad ett LIS innebär för en organisation har en omfattande litteraturstudie genomförts. Som ett komplement till litteraturstudien har intervju med informationssäkerhetsexpert Berndt Roslund genomförts. Vid denna intervju erhölls värdefull information avseende arbetssätt vid implementering samt vad som är viktigt att tänka på vid, under och efter en implementering av LIS. Projektet har genomförts på ett strukturerat sätt och tidsplanen som bestämdes vid uppstarten av projektet har kontinuerligt uppdaterats vid rapporteringsmöten hos SFK Certifiering. Rapporteringsmötena har genomförts enligt plan en gång i månaden. Deltagare har varit min handledare på SFK Certifiering och jag själv som författare. Vid några möten har även andra medarbetare på SFK Certifiering deltagit. Eftersom arbetssättet varit strukturerat anses data som framlagts i detta arbete kunna återskapas och det anses även att samma resultat hade framkommit om annan person genomfört projektet. Jag anser det intressant att SFK Certifiering har övergångsregler från tidigare ackrediteringsregler gentemot ISO 17021 och att ingen inom organisationen har reflekterat över att dessa övergångsregler inte gäller vid en ny ackrediteringsansökan. Projekts arbetsgång har fungerat på ett tillfredsställande sätt, sannolikt mycket beroende på att min uppdragsgivare, mina handledare samt jag som författare har varit mycket motiverade. När jag har stött på hinder eller svårigheter har mina handledare omedelbart hjälpt mig för att komma vidare. Det enda jag ser som en olägenhet i projektet var att en ny standard, ISO 27006, utkom efter cirka halva examensarbetet. Detta ledde till större tidsåtgång eftersom det var nödvändigt att ta hänsyn till denna nya standard. Det hade varit stimulerande att även få vara med att utveckla och implementera ett LIS, men på grund av tidsaspekten för mitt examensarbete är detta tyvärr inte möjligt.
52
DISKUSSION
Under projektet har stor kunskap förvärvats avseende det relativt nya begreppet informationssäkerhet och ledningssystem för informationssäkerhet. Jag har även fått stor insikt i ackrediterings- och certifieringsprocessen. Min tidigare erfarenhet och kunskap avseende verksamhetssystem, riskhantering och säkerhetsaspekter har varit av stor betydelse för förståelsen och resultatet av projektet. Vad jag förstår kommer projektet att underlätta för SFK Certifiering i deras arbete med att utveckla och implementera ett LIS. Projektet har kartlagt vilka kapitel som behöver kompletteras för att formella krav från standarder och förordningar skall uppnås. Arbetet visar även på vilka rutiner som idag saknas i verksamhetssystemet och behöver tas fram samt vilka rutiner som behöver kompletteras. Dessutom framgår det i vilken standard eller STAFS det exakta kravet återfinns. Mina indikationer tyder på att SFK Certifiering har god motivering och resurser för att inom utsatt tidsplan utveckla och implementera ett informationssäkerhetssystem i organisationen. Resultat och rekommendationer från projektet kan, som jag ser det, till stor del användas av andra organisationer som skall börja arbeta med informationssäkerhet. Däremot är de konkreta paragrafer kopplat till SFK Certifierings nuvarande verksamhetssystem unika och går inte att överföra på andra organisationer.
8.2 Fortsatt arbete Eftersom affärsvärlden är integrerad och därmed sårbar är det betydelsefullt att verksamheter skyddar sig mot angrepp. Det är betydelsefullt att företagsledningen tar ansvar för att säkerställa verksamhetens lönsamhet och fortsatta existens. En nackdel för informationssäkerhetsarbetet är att det verkar som att många ledare i stor utsträckning inte vidtar nödvändiga åtgärder förrän skadan redan har inträffat. Vad jag förstår är det ett stort problem att säkerheten inte tas på allvar förrän en allvarlig attack har inträffat. Eftersom informationen är en värdefull tillgång för organisationen kan denna försumlighet få stora konsekvenser för organisationen. Flertalet företeelser som orsakar störningar i verksamheten uppstår, vad jag erfar, på grund av bristande kunskaper hos medarbetarna. Det är därför eftertraktat att förutom att ledningen visar sitt engagemang, att medarbetarna har goda kunskaper inom risk och säkerhet med inriktning mot informationssäkerhet. Genom kontinuerlig utbildning erhåller medarbetarna ett högt risk- och säkerhetsmedvetande. För att säkerställa informationssäkerheten i organisationen ser jag endast fördelar med att införa och certifiera ett ledningssystem för informationssäkerhet enligt ISO 27001. Inte minst på grund av att dagens standarder för ledningssystem är mer processorienterade än de tidigare standarderna där paragraferna stod i centrum. Med stöd av dessa nya standarder kan organisationer utvecklas med, och ibland tack vare, införandet av olika ledningssystem. När SFK Certifiering inleder arbetet med att utveckla, integrera och implementera ett ledningssystem för informationssäkerhet rekommenderas att arbetet startar med utarbetningen av en informationssäkerhetspolicy. Policyn ligger tillsammans med riskanalysen till grund för informationssäkerhetssystemet. Det är policyn som skall tala om för omvärlden var SFK Certifiering står för samtidigt som policyn beskriver för medarbetarna hur olika typer av säkerhet skall hanteras. Eftersom säkerhetsarbetet har sin utgångspunkt ur riskanalyser samt ur förebyggande och korrigerande åtgärder bör riskanalyser genomföras parallellt med framtagandet av policyn. Riskanalysen visar på vad det är viktigt att fokusera på. Riskerna förändras över tid och det är därför angeläget att SFK Certifiering kontinuerligt genomför riskanalyser och därefter åtgärdar eventuella brister.
53
DISKUSSION
För att systemet skall fungera på ett tillfredsställande sätt rekommenderas SFK Certifiering att kontinuerligt uppdatera, utveckla och följa upp verksamhetssystemet. Verksamhetssystemet säkerställs genom att organisationen arbetar med ständiga förbättringar vilka kopplas till kundkrav och mål i förhållande till förbättringsprocesser. Det bör även finnas kopplingar till att stänga felkällor och utvärdera resultatet. Vad jag förstår är det relativt vanligt att det uppstår brister i kopplingen mellan riskanalys och ständiga förbättringar. Det är därför viktigt att SFK Certifiering känner till att inget läge är stabilt. Organisationen kan växa, ny teknik tillkomma och medarbetare både avslutar och påbörjar anställning. Det hade varit intressant att studera vilka riskanalyser som är mest fördelaktiga för informationssäkerhetsarbete. Rekommenderar därför till fortsatta studier avseende riskanalyser för informationssäkerhet. Det hade även varit intressant att studera om riskanalysmodellerna skiljer sig åt beroende på om organisationen är ett tjänste- eller producerande företag.
54
KÄLL- OCH LITTERATURHÄNVISNING
Käll- och litteraturhänvisning Litteratur Andersson, J.-O. (2007). Informationssäkerhetshandbok. Handbok för policy och riktlinjer. SIS: Stockholm Andersson, J.-O. (2007). Informationssäkerhetshandbok del 4. Hot och riskanalys. SIS: Stockholm Backman, J. (1998). Rapporter och uppsatser. Studentlitteratur: Lund Bell, J. (2005). Introduktion till forskningsmetodik. Studentlitteratur: Danmark Berggren et. al. (2001). 9000 Goda Råd, att bygga kvalitetssystem i företag. IVF Industriforskning: Mölndal Bergman, B. & Klefsjö, B. (2001). Kvalitet från behov till användning. Studentlitteratur: Lund Grimvall, G., Jacobsson, I. & Thedéen, T. (2003). Risker i tekniska system. Studentlitteratur: Lund ISO/IEC 17021:2006. (2006). Conformity assessment – Requirements for bodies providing audit and certifications of management systems. ISO: Geneva ISO/IEC 27006:2007. (2007). Informationsteknik – Säkerhetstekniker – Krav på organisationer som tillhandahåller revision och certifiering av ledningssystem för informationssäkerhet. SIS: Stockholm Olsson, H. & Sörensen, S. (2007). Forskningsprocessen. Kvalitativa och kvantitativa perspektiv. Liber: Stockholm Persson, G. (2004). Handbok 315. Att integrera ledningssystem – bygga ett verksamhetssystem.. Erlanders: Stockholm. Piper, L. & Carty, M. (2004). Handbok 208:2004. Ledningssystem för miljö, kvalitet och arbetsmiljö – för hållbara organisationer som vill följa ISO-standarder. SIS Förlag: Stockholm Patel R., & Davidson, B. (2003). Forskningsmetodikens grunder. Att planera, genomföra och rapportera en undersökning. Studentlitteratur: Lund Reason. J. (1990). Human Error. Cambridge: Cambridge Univ. Rosam, I. & Peddle, R. (2004). Handbok 330. Att bygga processbaserat ledningssystem för verksamhetsförbättring. SIS Förlag: Stockholm. Räddningsverket. (2003). Handbok för riskanalys. Elanders Tofters: Karlstad
55
KÄLL- OCH LITTERATURHÄNVISNING
SS-ISO/IEC 17799:2005. (2005). Ledningssystem för informationssäkerhet - Riktlinjer för styrning av informationssäkerhet. SIS Förlag: Stockholm SS-ISO/IEC 27001:2006. (2006). Ledningssystem för informationssäkerhet – krav. SIS Förlag: Stockholm SIS Broschyr. (1999). Företagsledningen och informationssäkerheten. Stellan Ståls Grafiska: Stockholm. SIS Handbok 550. (2003). Terminologi för informationssäkerhet. SIS Förlag; Stockholm. SIS Teknisk rapport. (2006). Ge din information rätt säkerhet - Handbok i informationssäkerhetsarbete. Pdf-dokument finns att hämta från SIS:s webbplats: www.sis.se eller från SWEDACs hemsida: www.swedac.se SWEDAC, Doc 97:5. (1997). Information om ackreditering för certifiering. SWEDAC: Borås SWEDAC, Doc 00:8. (2000). Hur säker är din information? Ledningssystem för informationssäkerhet SS 62 77 99. SWEDAC: Borås SWEDAC, DOC 07:10. (2007). Ackrediteringsprocessen – Så går ackrediteringen till. SWEDAC: Borås SWEDAC, DOC 01:6. (2001). Vårt märke är ganska litet, men det ger ett stort mått av trygghet. SWEDAC: Borås Syrén, A. (2006). På egen risk. En handbok om informationssäkerhet. SIS Förlag: Stockholm STAFS 2007:13. (2007). Föreskrifter och allmänna råd om ackreditering av organ som certifierar ledningssystem. SWEDAC: Borås
Internet Certifiering.nu Uppdaterad 2007-09-12 , URL: http://certifiering.nu/ecomedia/mdb/simple.aspx?TAB=mdb (2007-09-12). Sökväg: Markera ISO/IEC 27001, välj därefter visa resultat. SWEDAC URL 1, uppdaterad 2007-06-27: http://www.swedac.se/sdd/system.nsf/(GUIView)/index.html?open&dest=/sdd/SwInternet.nsf /5249556c47a4c795c1256f38002c1a65/ed319a025b9a2c9dc12570f1006389bf?OpenDocume nt (hämtad 2007-09-02) URL 2, uppdaterad: 2007-09-03: http://www.swedac.se/sdd/System.nsf/(GUIview)/index.html (hämtad 2007-09-05) Sökväg: Informationssäkerhet
56
KÄLL- OCH LITTERATURHÄNVISNING
Personlig kommunikation Magnus Pedersen, SWEDAC, SFK Certifierings kontaktperson, 2007-08-07 Berndt Roslund, SafeCom Consulting AB, Informationssäkerhetsexpert, 2007-08-10 Per-Olof Winberg, SFK Certifiering, Utvecklingschef, 2007-04-10
57
BILAGA
BILAGA 1 Certifierade företag i Sverige, källa certifiering.nu (2007-09-12) BAE Systems Bofors AB BAE Systems is a global company engaged in the development, delivery and support of advanced defence and aerospace systems in the air, on land and at sea. http://www.baesystems.com/WorldwideLocations/Sweden/ Erhållna certifikat AQAP 2110 ISO 14001:2004 ISO 9001:2000 ISO/IEC 27001 TickIT
Utfärdare: DNV Certification AB
C2 Management AB C2 Management affärsidé är att hyra ut förbättringsverktyget System C2™ som stödjer företag och organisationer inom Kvalitet och Ständiga Förbättringar. System C2™ är ett effektivt IT-stöd för alla typer av ärendehantering – så som förbättringsförslag, avvikelser, reklamationer, kundsynpunkter, incidenter, revision mm. System C2™ har över 80 000 användare inom såväl stora koncerner som mindre bolag, inom statliga verk, kommuner och övrig offentlig sektor. C2 Management erbjuder konsulttjänster inom förbättringsledning och att skapa en kreativ kultur för att styra förbättringsarbetet mot verksamhetens mål. C2 Management anordnar ett flertal nätverk, konferenser och seminarier inom verksamhetsutveckling samt drift och underhåll av förbättringsarbetet. http://www.c2management.se/v2/ Erhållna certifikat EBTrust ISO 14001:2004 ISO 9001:2000 ISO/IEC 27001
Utfärdare: DNV Certification AB
Eads Secure Networks Oy Säljer kommunikationssystem till militär i Europa. http://www.yritystele.fi/yf_getinfo/code/RIFzmEBs7bEHSMy2osCipQN5Ir8%3DGS/EADS%20Secure% 20Networks%20Oy Erhållna certifikat ISO/IEC 27001
Utfärdare:
DNV Certification AB
Ericsson, MU Iberia Your business is technology. Our business is giving your people the right skills to make the best use of that technology. Ericsson Education Iberia, as part of Global Services and Ericsson Education has the responsibility of providing training solutions to Ericsson customers and employees in MU Iberia. These solutions create business value by enabling customers to develop and manage competence in an effective and efficient manner. With International Education partners in the five continents we manage a broad portfolio of training courses covering Mobile Systems, Multi-Service Networks, Datacom/IP, Service Networks & Applications, Open Systems and Business Training. We also manage competence value-added services that can be customised to meet specific business needs. http://www.ericsson.com/solutions/learning/iberia/index.shtml
1
BILAGA
Erhållna certifikat BS 7799-2:2002 ISO 9001:2000 ISO/IEC 27001
Utfärdare:
DNV Certification AB
Länssjukhuset i Halmstad Sjukvård
http://www.lthalland.se/lth_templates/informationpage____4356.aspx Erhållna certifikat ISO 9001:2000 ISO/IEC 27001
Utfärdare: SEMKO Certification AB
Primärvården Falkenberg Sverige Sjukvård http://www.lthalland.se/lth_templates/informationpage____4842.aspx Erhållna certifikat ISO 14001:2004 ISO 9001:2000 ISO/IEC 27001
Utfärdare:
SEMKO Certification AB
Sjukhuset i Varberg Sjukvård http://wwwtest.lthalland.se/lth_templates/informationpage____4389.aspx Erhållna certifikat ISO 9001:2000 ISO/IEC 27001
Utfärdare:
SEMKO Certification AB
Sigma Information Design AB Göteborg Sigma Kudos is one of the global leading suppliers of Information Logistics Solutions and Product Information. Our customers are global leaders, at the cutting edge of the telecom, software, automotive and industry sectors. http://www.id.sigma.se/ eller den nya webbsidan http://www.sigmakudos.com/opencms/ Erhållna certifikat ISO/IEC 27001
Utfärdare:
LRQA Sverige AB
YIT Sverige AB, Div Facilities Management Data-tele erbjuder vi system för datakommunikation och nätverk. Tekniska säkerhetssystemen. Uthyrning av maskiner och verktyg. Cleanroom tillhandahåller helhetslösningar för kunder med behov av kontrollerad processmiljö.
http://www.yit.se/ Erhållna certifikat ISO 14001:2004 ISO 9001:2000 ISO/IEC 27001
Utfärdare:
DNV Certification AB
2
